BYOD : une sécurité plus intelligente jamais.

Stuart Constable

25/07/2019

Même dans les environnements les plus réglementés, le modèle BYOD (Bring Your Own Device) est en train de s’imposer. Au point même de devenir un impératif en termes de flexibilité, d’expérience utilisateur et de productivité. Alors que la mobilité devient un levier de compétitivité majeur, nous nous penchons ici sur ses implications en termes de sécurité et de culture d’entreprise dans le nouveau monde du mobile-first.

Les gens sont compliqués. Plus vous appliquez de règles, plus ils trouvent de moyens de les contourner.

La montée en puissance du BYOD en est un exemple classique, car ce ne sont pas les entreprises mais bien les salariés eux-mêmes qui ont donné l’impulsion à cette transformation. Plus important encore, la réaction des organisations est un véritable cas de management à reprendre dans toutes les écoles.

Avec le BYOD, on se retrouve dans une situation classique de gestion du risque. Concrètement, la question est de savoir si l’utilisation d’appareils personnels à des fins professionnelles représente un risque matériel supérieur à la restriction de la mobilité.

Les avantages prouvés de la mobilité en termes de productivité et de compétitivité semblent à eux seuls apporter la réponse. En parallèle, la plupart des technologies de sécurité savent désormais appliquer les politiques de protection sur les terminaux les plus éloignés et les plus mobiles. Le risque est donc moins élevé qu’avant.

Et pourtant, les gens sont vraiment compliqués. Dans la plupart des cas, le risque ne vient pas de la technologie, mais plutôt de l’humain. Ce ne sont pas les smartphones et les ordinateurs portables qui provoquent des incidents de sécurité, mais bien les personnes qui s’en servent.

D’où le rôle essentiel de la culture d’entreprise dans la prévention et l’atténuation de l’impact des cyberattaques. Vous pourrez imposer toutes les mesures de sécurité que vous voudrez, elles ne pourront rien face au laxisme des utilisateurs. La sécurité, c’est avant tout un état d’esprit.

Kai Roer, cofondateur et PDG du bureau d’études CLTRe, définit la culture de sécurité comme « les sentiments et les croyances des salariés à l’égard des protocoles et problématiques de sécurité ». Cependant, la culture doit se projeter au-delà des seules questions de sécurité pour englober l’idée que les salariés se font du monde du travail en général, et de leur entreprise en particulier. En d’autres termes, à quoi bon se donner la peine de protéger une organisation pour laquelle on ne ressent aucune loyauté ?

Le modèle BYOD contribue justement à renforcer ce sentiment d’appartenance, car il donne aux salariés plus d’autonomie dans leur vie professionnelle. Ils peuvent faire leurs propres choix quant aux appareils et applications qu’ils utilisent, ce qui se répercute positivement sur leur productivité. Ils prendront également davantage de soin à protéger leur appareil et éprouveront une plus grande satisfaction professionnelle.

Néanmoins, les salariés restent des êtres humains. C’est pourquoi les nouvelles technologies de sécurité couvrent désormais une surface d’attaque plus large que jamais.

Pour une entreprise comme Lenovo, la sécurité des appareils ne commence pas au moment de leur assemblage. Non, elle remonte bien en amont et englobe tous les composants de la supply chain. L’industrie des composants informatiques est en effet minée par certains sous-traitants peu scrupuleux qui revendent des pièces de moindre qualité pour augmenter leurs marges. C’est ainsi que certains appareils finissent par intégrer des composants qui ne sont pas d’origine. En sécurisant sa supply chain de bout en bout, Lenovo ferme totalement la porte à ce genre de pratique.

Cela n’élimine pas le risque de compromission des appareils, mais cet exemple montre bien qu’en matière de sécurité, il faut avoir une parfaite connaissance de l’éventail des menaces.

L’une des parades efficaces au risque du BYOD est d’appliquer une politique COPE, pour « Corporate-Owned, Personally-Enabled ». Concrètement, l’employeur donne à ses salariés le choix entre différents appareils sur lesquels les services de l’entreprise sont conteneurisés, de sorte que toute utilisation personnelle ne présente aucun risque pour l’entreprise. L’approche COPE démontre un degré de confiance mutuelle entre l’employeur et l’employé. C’est du gagnant-gagnant : le collaborateur bénéficie d’une expérience de qualité et l’entreprise réduit les risques propres au BYOD.

Avec le modèle BYOD, votre solution de gestion mobile exige un fort degré de granularité car elle empiète directement dans la sphère personnelle de l’utilisateur. Là encore, une séparation de l’environnement professionnel et personnel est nécessaire pour garantir la protection des données personnelles en cas de cyberattaque contre l’employeur, et inversement pour permettre aux entreprises de soumettre chaque appareil connecté à des mesures de sécurité et de conformité.

Tous ces concepts de confiance et de loyauté peuvent être matérialisés dans une politique tangible qui veillera à ce qu’une sécurité forte ne soit pas un frein à la productivité. C’est là le principe fondateur de la solution ThinkShield de Lenovo : chaque étape du cycle de vie de l’appareil est soumise à des mesures de sécurité draconiennes, du bureau d’étude jusqu’au décommissionnement de l’équipement en fin de vie, en passant par tous les maillons de la supply chain et tous les cas d’usage.

C’est cette même philosophie qui a inspiré la conception et la fabrication des derniers ordinateurs portables ThinkBook, dotés d’un module de chiffrement dTPM, d’un cache physique pour la caméra et d’un lecteur d’empreintes digitales intégré au bouton on/off.

Chaque innovation est un nouveau durcissement dans l’éternel bras de fer que se livrent hackers et équipes informatiques, sans compter que l’avènement de technologies comme l’IoT et l’intelligence artificielle ouvre sans cesse de nouveaux fronts. Mais avant de gagner cette bataille des armes, vous devez d’abord gagner la bataille des cœurs et des esprits en interne. D’où l’importance de mettre en place une politique de sécurité éclairée et respectueuse de l’humain, condition sine qua non à une protection renforcée contre tout type d’attaque.

 

 

Le SDDC pour répondre aux enjeux de l’hybridation de l’IT