mardi 5 mars 2013

Le BYOD : un phénomène incontournable, des nouveaux besoins en matière de sécurité, Noël Chazotte, et Etienne Didelot, Telindus

A lire sur:  http://www.decideur-public.info/article-le-byod-un-phenomene-incontournable-des-nouveaux-besoins-en-matiere-de-securite-noel-chazotte-e-115908290.html

Mardi 5 mars 2013
Les équipements mobiles, qu’il s’agisse de PC portables, de tablettes ou de smartphones font partie intégrante de notre quotidien. Alors que la frontière entre l’utilisation professionnelle et personnelle de ces matériaux s’affine, les problématiques liées à ce phénomène se renforcent. Quelle politique adopter face au BYOD afin de sécuriser les flux d’informations ?
La notion de Bring Your Own Device (BYOD) est définie par le cabinet Gartner comme une stratégie alternative permettant aux employés, partenaires et autres utilisateurs, d’utiliser leurs terminaux personnels pour se servir des applications d’entreprise et accéder aux données. Mais ces données, soumises à des règles de confidentialité pour certaines, sont à la merci de la moindre faille de sécurité.
Ce concept, très à la mode, est la conséquence directe du succès des smartphones et des tablettes dans la sphère personnelle ; les nombreux utilisateurs de ces terminaux souhaitent, de manière naturelle, pouvoir les utiliser dans leur activité professionnelle.
Un phénomène qui s’est imposé de lui-même
Les entreprises étant par nature moins agiles que les consommateurs, elles doivent appréhender ces terminaux sans qu’elles en aient elles-mêmes décidé le déploiement. Ce type de situations n’est d’ailleurs pas vraiment nouveau. Les DSI avaient déjà connu ces problématiques lors du développement du Wi-Fi dans la sphère privée, ou encore lors de l’apparition du GSM, alors que la pression des utilisateurs était forte pour l’adoption des technologies dans le cadre professionnel.
Là encore, la technologie et les utilisateurs sont allés plus vite que prévu. Le cabinet d’études Forrester estime ainsi que 74 % des salariés utilisent deux terminaux au minimum au travail, et 52 % en utilisent trois ou plus.
Points également importants, plus de la moitié ont une utilisation mixte, personnelle et professionnelle, et un tiers des équipements utilisent un autre OS que Windows.
Le BYOD et la sécurité de l’accès au Système d’Information
L’ouverture du système d’information est un fait, le BYOD est la partie émergée de l’iceberg. Le besoin des utilisateurs d’utiliser leurs équipements personnels, l’accueil des prestataires ou des invités, le besoin de visibilité sur les équipements connectés au réseau interne de l’entreprise engendre beaucoup de problématiques pour les DSI. Il faut faire face à une multitude d’équipements et de profils d’utilisateurs.
Beaucoup d’entreprises ne savent pas répondre aux questions suivantes : Qui se connecte ? Par quel équipement ? L’équipement utilisé est-il conforme ? Comment gérer les droits d’accès ? Comment donner accès aux applications et données de manière simple et ergonomique ? Et surtout : Comment veiller au respect de la politique de sécurité de l’entreprise, sans être intrusif ?
Pour répondre à ces enjeux il existe des solutions héritées des technologies de NAC. Les solutions de NAC de dernière génération ont évoluées et gagné en maturité afin d’offrir les services permettant de répondre aux challenges du BYOD. On va donc être en mesure de donner un accès au SI à un utilisateur (qu’il soit interne ou externe) en fonction du type d’équipement qu’il va utiliser, de son profil, du mode de connexion, et même en fonction du créneau horaire. De plus les nouvelles fonctions de profiling vont apporter de la visibilité en catégorisant tous les équipements connectés au réseau. Les politiques d’accès vont donc pouvoir être appliquées en fonction de ces catégories.
Enfin pour illustrer les possibilités, prenons l’exemple d’un collaborateur du service ressources humaines. Lorsqu’il se connecte depuis son PC de bureau il aura accès aux applications liées à son métier ainsi que toutes les ressources partagées de l’entreprise (Intranet, Internet, emails…). Si le même utilisateur se connecte avec un Ipad de l’entreprise on pourra lui donner les mêmes droits d’accès. Par contre, s’il utilise son smartphone personnel, le RSSI souhaitera peut-être différencier les droits d’accès et ne donner accès qu’à Internet aux téléphones sous Android et peut-être donner accès à Internet et à l’Intranet aux téléphones sous iOS. Les possibilités sont nombreuses et peuvent répondre aux exigences des politiques de sécurité adaptées aux nouveaux usages de l’entreprise.
Il faut préciser, que les utilisateurs finaux attendent des nouveaux usages de ce phénomène BYOD. Ces attentes, sont notamment de pouvoir accéder au SI de l’entreprise, avec leurs terminaux personnels, de la manière la plus simple et ergonomique possible. Mais également de pouvoir bénéficier de leur terminal personnel pour leurs usages personnels, en parallèle, des usages professionnels auxquels ils aimeraient prétendre. Dans ce dernier cas, on parle essentiellement de l’accès aux emails, agenda, contacts, l’intranet, voire de certains applications mobiles (apps) dédiées à l’entreprise.
Il faut souligner également, que des contraintes légales viennent s’ajouter aux demandes des utilisateurs, notamment, la capacité de ne pas contrôler (visualiser ou modifier) les données privées sur lesquelles l’entreprise n’a pas le droit de regard.
Pour réunir ces différentes contraintes et répondre à ces nouveaux besoins, il est alors souhaitable de disposer de fonctionnalités suivantes :
  • Reconnaissance automatique du type de terminaux (corporate, personnel, smartphone, tablette...)
  • Proposition du mode de connexion le plus adapté
  • Enregistrement du terminal et affectation à l’utilisateur correspondant (on parle ici d’enrollment, éventuellement avec un outil de type « MDM »)
  • Affectation des droits d’accès associés à l’utilisateur et à son type de terminal,
  • Séparation des données professionnelles et privées sur l’équipement mobile,
  • Visibilité et contrôle des données professionnelles.
Avoir une vue globale des besoins
Bien entendu, on prendra soin de répertorier ces besoins dans une politique de mobilité, elle-même dépendant de la politique de sécurité du système d’information.
Une fois cette matrice réalisée, il est possible de mettre en place une feuille de route pour l’adoption du BOYD de l’entreprise et définir une architecture correspondante.
L’adoption du BYOD peut être classée en différentes phases, représentant la maturité d’une entreprise dans ce domaine (la majorité des entreprises se trouvent actuellement dans la phase limitée ou simple) comme le montre l’infographie ci-dessus.
Selon un sondage récent réalisé par NetIQ, 56% des entreprises françaises ont mis en place une politique de gestion du BYOD. Le chemin vers une intégration optimale du BYOD dans les entreprises françaises est encore long, mais elles commencent à prendre conscience de l’ensemble des paramètres d’infrastructure et de sécurité à prendre en compte pour faire du BYOD un réel atout pour le monde professionnel.
 
Noël Chazotte, directeur marketing et innovation sécurité et Etienne Didelot, marketing infrastructure et communications unifiées, Telindus

Aucun commentaire:

Enregistrer un commentaire