A lire sur: http://www.decideur-public.info/article-le-byod-un-phenomene-incontournable-des-nouveaux-besoins-en-matiere-de-securite-noel-chazotte-e-115908290.html
Mardi 5 mars 2013
Les
équipements mobiles, qu’il s’agisse de PC portables, de tablettes ou de
smartphones font partie intégrante de
notre quotidien. Alors que la frontière entre l’utilisation
professionnelle et personnelle de ces matériaux s’affine, les
problématiques liées à ce phénomène se renforcent. Quelle politique
adopter face au BYOD afin de sécuriser les flux d’informations ?
La
notion de Bring Your Own Device (BYOD) est définie par le cabinet
Gartner comme une stratégie alternative
permettant aux employés, partenaires et autres utilisateurs,
d’utiliser leurs terminaux personnels pour se servir des applications
d’entreprise et accéder aux données. Mais ces données, soumises
à des règles de confidentialité pour certaines, sont à la merci de
la moindre faille de sécurité.
Ce
concept, très à la mode, est la conséquence directe du succès des
smartphones et des tablettes dans la sphère
personnelle ; les nombreux utilisateurs de ces terminaux souhaitent,
de manière naturelle, pouvoir les utiliser dans leur activité
professionnelle.
Un phénomène qui s’est imposé de lui-même
Les
entreprises étant par nature moins agiles que les consommateurs, elles
doivent appréhender ces terminaux sans
qu’elles en aient elles-mêmes décidé le déploiement. Ce type de
situations n’est d’ailleurs pas vraiment nouveau. Les DSI avaient déjà
connu ces problématiques lors du développement du Wi-Fi dans
la sphère privée, ou encore lors de l’apparition du GSM, alors que
la pression des utilisateurs était forte pour l’adoption des
technologies dans le cadre professionnel.
Là encore, la technologie et les utilisateurs sont allés plus vite que prévu. Le cabinet d’études Forrester estime
ainsi que 74 % des salariés utilisent deux terminaux au minimum au travail, et 52 % en utilisent trois ou plus.
Points également importants, plus de la moitié ont une utilisation mixte, personnelle et professionnelle, et un
tiers des équipements utilisent un autre OS que Windows.
Le BYOD et la sécurité de l’accès au Système d’Information
L’ouverture
du système d’information est un fait, le BYOD est la partie émergée de
l’iceberg. Le besoin des
utilisateurs d’utiliser leurs équipements personnels, l’accueil des
prestataires ou des invités, le besoin de visibilité sur les équipements
connectés au réseau interne de l’entreprise engendre
beaucoup de problématiques pour les DSI. Il faut faire face à une
multitude d’équipements et de profils d’utilisateurs.
Beaucoup
d’entreprises ne savent pas répondre aux questions suivantes : Qui se
connecte ? Par quel équipement ?
L’équipement utilisé est-il conforme ? Comment gérer les droits
d’accès ? Comment donner accès aux applications et données de manière
simple et ergonomique ? Et surtout : Comment veiller au
respect de la politique de sécurité de l’entreprise, sans être
intrusif ?
Pour
répondre à ces enjeux il existe des solutions héritées des technologies
de NAC. Les solutions de NAC de
dernière génération ont évoluées et gagné en maturité afin d’offrir
les services permettant de répondre aux challenges du BYOD. On va donc
être en mesure de donner un accès au SI à un utilisateur
(qu’il soit interne ou externe) en fonction du type d’équipement
qu’il va utiliser, de son profil, du mode de connexion, et même en
fonction du créneau horaire. De plus les nouvelles fonctions de
profiling vont apporter de la visibilité en catégorisant tous les
équipements connectés au réseau. Les politiques d’accès vont donc
pouvoir être appliquées en fonction de ces catégories.
Enfin
pour illustrer les possibilités, prenons l’exemple d’un collaborateur
du service ressources humaines.
Lorsqu’il se connecte depuis son PC de bureau il aura accès aux
applications liées à son métier ainsi que toutes les ressources
partagées de l’entreprise (Intranet, Internet, emails…). Si le même
utilisateur se connecte avec un Ipad de l’entreprise on pourra lui
donner les mêmes droits d’accès. Par contre, s’il utilise son smartphone
personnel, le RSSI souhaitera peut-être différencier
les droits d’accès et ne donner accès qu’à Internet aux téléphones
sous Android et peut-être donner accès à Internet et à l’Intranet aux
téléphones sous iOS. Les possibilités sont nombreuses et
peuvent répondre aux exigences des politiques de sécurité adaptées
aux nouveaux usages de l’entreprise.
Il
faut préciser, que les utilisateurs finaux attendent des nouveaux
usages de ce phénomène BYOD. Ces attentes, sont
notamment de pouvoir accéder au SI de l’entreprise, avec leurs
terminaux personnels, de la manière la plus simple et ergonomique
possible. Mais également de pouvoir bénéficier de leur terminal
personnel pour leurs usages personnels, en parallèle, des usages
professionnels auxquels ils aimeraient prétendre. Dans ce dernier cas,
on parle essentiellement de l’accès aux emails, agenda,
contacts, l’intranet, voire de certains applications mobiles (apps)
dédiées à l’entreprise.
Il
faut souligner également, que des contraintes légales viennent
s’ajouter aux demandes des utilisateurs,
notamment, la capacité de ne pas contrôler (visualiser ou modifier)
les données privées sur lesquelles l’entreprise n’a pas le droit de
regard.
Pour réunir ces différentes contraintes et répondre à ces nouveaux besoins, il est alors souhaitable de disposer de
fonctionnalités suivantes :
- Reconnaissance automatique du type de terminaux (corporate, personnel, smartphone, tablette...)
- Proposition du mode de connexion le plus adapté
- Enregistrement du terminal et affectation à l’utilisateur correspondant (on parle ici d’enrollment, éventuellement avec un outil de type « MDM »)
- Affectation des droits d’accès associés à l’utilisateur et à son type de terminal,
- Séparation des données professionnelles et privées sur l’équipement mobile,
- Visibilité et contrôle des données professionnelles.
Avoir une vue globale des besoins
Bien entendu, on prendra soin de répertorier ces besoins dans une politique de mobilité, elle-même dépendant de la
politique de sécurité du système d’information.
Une fois cette matrice réalisée, il est possible de mettre en place une feuille de route pour l’adoption du BOYD de
l’entreprise et définir une architecture correspondante.
L’adoption
du BYOD peut être classée en différentes phases, représentant la
maturité d’une entreprise dans ce
domaine (la majorité des entreprises se trouvent actuellement dans
la phase limitée ou simple) comme le montre l’infographie ci-dessus.
Selon
un sondage récent réalisé par NetIQ, 56% des entreprises françaises ont
mis en place une politique de gestion
du BYOD. Le chemin vers une intégration optimale du BYOD dans les
entreprises françaises est encore long, mais elles commencent à prendre
conscience de l’ensemble des paramètres d’infrastructure
et de sécurité à prendre en compte pour faire du BYOD un réel atout
pour le monde professionnel.
Noël Chazotte, directeur marketing et innovation sécurité et Etienne Didelot, marketing infrastructure et
communications unifiées, Telindus
Aucun commentaire:
Enregistrer un commentaire