Qu’est-ce que le BYOD ?

Une politique de BYOD ou “bring-your-own-device” (en français, littéralement : “amenez votre propre appareil”) permet aux employés et aux autres membres du personnel d'apporter leurs ordinateurs portables et leurs smartphones personnels au travail et de les connecter au réseau de l'entreprise.

Le BYOD est courant dans de nombreuses entreprises, et les employés l'apprécient car ils peuvent se sentir plus à l'aise en utilisant leurs propres appareils. Cependant, l'utilisation d'appareils personnels représente un défi pour la capacité de l'organisation à sécuriser l'environnement réseau. Par conséquent, une politique BYOD doit être définie pour protéger les données de l'entreprise.

Les appareils appartenant à l'organisation sont faciles à sécuriser puisque les administrateurs contrôlent ce qui est installé sur l'appareil et forcent les mises à jour et les changements de configuration. Avec le BYOD, les administrateurs doivent trouver un équilibre entre la cybersécurité et la confidentialité du propriétaire de l'appareil.

La sécurité du BYOD comporte plusieurs éléments, qui doivent tous être planifiés pour s'adapter aux besoins uniques de votre entreprise et éviter d'être trop envahissants sur les appareils privés des utilisateurs. Pour mettre en œuvre une bonne stratégie de cybersécurité, vous devez déterminer les applications et les actifs auxquels il est possible d'accéder depuis un ordinateur personnel ou un smartphone. Vous pouvez également exiger des contrôles de sécurité minimums spécifiques pour l'appareil.

Par exemple, un utilisateur peut utiliser un smartphone pour se connecter à sa messagerie ou collecter d'autres données spécifiques à l'entreprise. Mais, avant que l'utilisateur ne se connecte à votre réseau, il doit installer un antivirus. Une application antivirus protège l'appareil contre les logiciels malveillants et assure la conformité de votre entreprise. Cette exigence protège les données de l'entreprise, mais n'interfère pas avec l'appareil privé de l'utilisateur.

La technologie des appareils mobiles et des smartphones évolue rapidement et la cybersécurité doit donc suivre ces changements constants. Les itérations technologiques suivent généralement des tendances spécifiques, et plus une tendance est populaire, plus elle attire l'attention des attaquants. Par conséquent, les stratégies de cybersécurité doivent également suivre les tendances.

Les stratégies BYOD évoluent également pour développer une meilleure infrastructure sans porter atteinte à la vie privée des utilisateurs. Voici quelques tendances populaires en matière de politique BYOD :

• Les exigences relatives aux appareils : Les utilisateurs ne peuvent se connecter aux ressources du réseau que s'ils disposent d'un système d'exploitation minimum pris en charge et n'utilisent qu'une liste désignée de fabricants d'appareils. Cette exigence permet d'éviter les attaques de logiciels malveillants cachés et de systèmes d'exploitation obsolètes.
• Les appareils perdus doivent être signalés immédiatement : Idéalement, les utilisateurs installent une application d'effacement à distance pour protéger les données de l'entreprise en cas de perte ou de vol d'un appareil. Même sans fonction d'effacement à distance, les utilisateurs doivent signaler immédiatement un appareil lorsqu'il n'est plus en leur possession.
• Politiques de confidentialité BYOD : Toutes les politiques BYOD doivent être transparentes afin que les utilisateurs puissent comprendre pleinement ce qui doit être installé et configuré pour apporter leurs appareils au travail. Cela inclut la connexion à distance au réseau depuis leurs appareils.

Les entreprises qui n'ont pas encore de politique de BYOD ont souvent besoin de conseils pour savoir où et comment commencer. À un niveau élevé, une politique BYOD permet aux employés d'apporter un smartphone, un ordinateur portable, une tablette ou tout autre appareil portable sur leur lieu de travail.

Environ 80 % des entreprises soutiennent une politique BYOD, et la plupart des employés profitent de cette politique et utilisent au moins un de leurs appareils personnels pour accéder aux applications et aux données de l'entreprise.

Si une politique BYOD peut augmenter la productivité des employés, son principal défi est la cybersécurité nécessaire pour protéger les données de l'entreprise. Les entreprises peuvent créer diverses politiques et stratégies pour établir des normes qui permettent aux employés d'accéder aux données de l'entreprise tout en les protégeant.

L'épine dorsale du fonctionnement du BYOD est l'établissement d'une politique d'“utilisation acceptable”. Cette politique dépend du secteur d'activité de l'entreprise et de toute réglementation de conformité.

Par exemple, les organisations de soins de santé doivent respecter des réglementations strictes sur les données des patients et s'assurer que l'accès utilise des contrôles spécifiques. Il en va de même pour une institution financière qui stocke les informations bancaires de ses clients.

Les politiques couvrant l'accès aux données doivent inclure :

• Les sites Web interdits à la navigation et toute connexion à distance aux données doit se faire sur un réseau privé virtuel (VPN).
• Les applications accessibles à partir de l'appareil, comme le courrier électronique, les rendez-vous du calendrier, la messagerie et les contacts professionnels.
• La transmission et le stockage de matériel illicite doivent être interdits pour éviter l'installation accidentelle de logiciels malveillants qui pourraient être utilisés pour voler des informations sensibles.

Les organismes de conformité exigent souvent une surveillance. Les particuliers n'ont généralement pas de logiciel de surveillance installé sur leurs appareils, mais cela est nécessaire dans un environnement professionnel.

Les administrateurs peuvent installer des outils de gestion à distance sur l'appareil pour permettre un accès en cas de vol ou de perte. Ils peuvent également installer des mises à jour du logiciel de l'appareil pour éviter les vulnérabilités dues à des applications obsolètes. Le logiciel à distance permet de sauvegarder les données stockées sur l'appareil, ce qui est également une exigence de la réglementation en matière de conformité.

Une fois que vous avez établi et documenté vos politiques, l'étape suivante consiste à informer vos employés afin qu'ils soient au courant des directives. Une politique solide nécessite également des mises à jour et des modifications après examen et enseignements tirés si une exigence de la politique s'avère inutile ou incomplète.

Une politique BYOD présente des avantages tant pour les employeurs que pour les employés. Le principal avantage pour les entreprises est la réduction des coûts d'exploitation. Les employés utilisant leurs propres appareils, les entreprises n'ont plus besoin de les acheter, ce qui réduit les coûts de plusieurs milliers de dollars. Il n'est pas rare que les employeurs paient les services de téléphonie mobile et de forfaits de données pour les smartphones, mais ce coût reste inférieur à celui du matériel.

Lorsque les employés utilisent des appareils qu'ils connaissent bien, la productivité augmente. Ils n'ont plus besoin de configurer les appareils pour qu'ils correspondent à leurs préférences spécifiques, car l'appareil de l'employé est déjà configuré pour être le plus efficace possible dans sa fonction. Les coûts de formation diminuent puisque les employés n'ont plus besoin d'apprendre la mécanique des appareils et peuvent se familiariser avec les applications à leur propre rythme.

Si un employé souhaite bénéficier de la dernière technologie, il achète un nouvel appareil, ce qui améliore la technologie nécessaire à l'entreprise pour rester opérationnelle. Au lieu d'acheter de nouveaux équipements, l'entreprise peut tirer parti de la dernière technologie de l'employé, ce qui peut contribuer à améliorer la productivité et à présenter les dernières tendances aux autres employés.

Malgré ses avantages, le BYOD présente également certains défis. Une organisation doit tenir compte de ces défis avant de planifier et de mettre en œuvre une politique de BYOD.

Voici quelques défis que vous pourriez rencontrer :

• Une mauvaise communication : Tout comme une politique de cybersécurité, la politique BYOD doit être bien communiquée. Si un utilisateur ne comprend pas la politique, cette mauvaise communication peut entraîner une utilisation inappropriée du BYOD. Par exemple, si vous ne définissez pas clairement les applications qui doivent être installées - comme un logiciel antivirus - il est possible que l'utilisateur ne dispose pas des protections de cybersécurité appropriées sur son appareil.
• Appareils perdus ou volés : Comme les utilisateurs emportent leurs appareils au travail, il est possible que les appareils contenant vos données d'entreprise privées soient perdus ou volés. Certaines politiques BYOD exigent que les appareils soient équipés d'une application d'effacement à distance pour éliminer les données sensibles. Certains appareils, tels que les iPhones d'Apple, chiffrent le stockage, mais les ordinateurs portables et les tablettes peuvent nécessiter un chiffrement supplémentaire du stockage afin de protéger les données en cas de perte ou de vol.
• Connexions des appareils : La connexion à des points d'accès Wi-Fi gratuits permet d'économiser des données, de sorte que de nombreux utilisateurs d'appareils mobiles recherchent ces points d'accès lorsqu'ils voyagent. Les attaquants profitent des zones de points d'accès Wi-Fi gratuits pour inciter les utilisateurs à se connecter à des points d'accès malveillants. Pour se protéger de ces connexions malveillantes et éviter l'écoute des données, demandez aux utilisateurs de se connecter à un réseau privé virtuel (VPN) certifié par l'entreprise.
• Applications malveillantes : Les utilisateurs ont la liberté d'installer toutes les applications qu'ils veulent sur leurs propres appareils, mais cela laisse vos données vulnérables aux applications malveillantes et aux logiciels malveillants. Votre politique devrait bloquer les téléphones jailbreakés, car ces smartphones sont plus vulnérables aux violations de données en l'absence de protections intégrées au système d'exploitation.
• Appareils ouverts et non verrouillés : Bien que certains utilisateurs choisissent de laisser leurs appareils non verrouillés et d'éviter d'utiliser des codes PIN, cela signifie que n'importe qui peut prendre l'appareil et voler vos données. Votre politique BYOD doit exiger que les utilisateurs conservent un code PIN ou un mot de passe sur leurs appareils, ce qui ajoute une couche de sécurité entre vos données et un attaquant.

Les risques liés à l'autorisation des utilisateurs BYOD sont directement liés aux défis auxquels l'organisation peut être confrontée. Par exemple, l'un des défis du BYOD est de protéger les données contre le vol, mais c'est également un risque auquel vous vous exposez en autorisant les utilisateurs à stocker des données d'entreprise sur leurs appareils. Les logiciels malveillants constituent également un risque, mais il est possible de les arrêter en utilisant le bon logiciel antivirus.

La conformité est l'un des risques les plus importants. Si un attaquant dérobe des données sensibles sur un appareil volé ou exploité, votre entreprise peut être confrontée à des litiges pour non-conformité et atteinte à la vie privée des clients. La défense contre les litiges est coûteuse et peut avoir un impact sur les revenus en raison de l'atteinte à la réputation de la marque.

Les utilisateurs comprennent généralement leurs propres appareils, mais la gestion mobile est mise entre les mains de l'utilisateur plutôt que des administrateurs. Une mauvaise gestion mobile peut rendre l'appareil plus vulnérable aux logiciels malveillants et autres attaques malveillantes si l'utilisateur ne sait pas comment arrêter les menaces courantes.

Si les administrateurs ne surveillent pas le BYOD, l'environnement peut être vulnérable au Shadow IT. Les appareils Shadow IT sont les ordinateurs portables, les smartphones et les tablettes des utilisateurs qui ne sont pas autorisés à se connecter au réseau. Ces appareils peuvent être connectés au réseau de manière malveillante pour exfiltrer des données et écouter le trafic.

L'élaboration d'une politique BYOD efficace peut prendre des mois, mais une bonne stratégie permettra de communiquer facilement et protéger vos données. Vous pouvez avoir besoin d'aide pour déterminer tout ce qui doit être inclus dans une politique, et des professionnels peuvent vous aider à établir un plan d'action.

Quelques conseils pour élaborer une politique BYOD :

• Établissez des politiques de sécurité : La protection des données est l'une des composantes les plus essentielles d'une bonne politique BYOD. Cartographiez chaque aspect des protections de cybersécurité installées sur l'appareil afin qu'il ne soit pas vulnérable aux attaquants virtuels et physiques.
• Créez un guide d'utilisation : Une politique d'utilisation acceptable (AUP) définit les sites Web, les logiciels et les connexions réseau approuvés par l'organisation.
• Installez un logiciel de gestion à distance : Les administrateurs doivent pouvoir corriger les logiciels et effacer à distance les données après un vol. Un logiciel de gestion à distance permet aux administrateurs d'accéder à l'appareil pour pousser les mises à jour.
• Mettez en place une authentification multifactorielle (MFA) : Si un attaquant parvient à accéder à l'appareil, il ne disposera pas des deux facteurs d'authentification pour accéder aux applications et aux données de votre entreprise.
• Formez régulièrement les employés : Les utilisateurs doivent connaître les attaques courantes et les moyens par lesquels les menaces volent les données des appareils mobiles. La formation permet de réduire le risque de violation des données.

Chaque politique BYOD d'entreprise est unique en fonction des exigences commerciales et des réglementations de conformité, mais votre organisation peut tout de même suivre les meilleures pratiques pour que les politiques restent cohérentes avec la meilleure cybersécurité.

Ces meilleures pratiques garantissent que votre politique se déploie sans heurts et que les utilisateurs comprennent facilement les exigences d'utilisation acceptable.

Voici quelques bonnes pratiques :

• Rédigez une politique détaillée : Chaque aspect de votre PUA et de votre politique BYOD doit être défini et documenté pour les utilisateurs et la direction.
• Mettez en œuvre la gestion des identités : Installez des contrôles d'accès et une gestion des identités pour vous assurer que seuls les utilisateurs autorisés peuvent avoir accès aux données.
• Préservez la vie privée des employés : N'oubliez pas que l'utilisateur est propriétaire de l'appareil, les politiques ne doivent donc affecter que les données de l'entreprise et non les informations privées du propriétaire de l'appareil.
• Formez les employés : Veillez à ce que les employés connaissent les meilleures pratiques et sachent comment utiliser leurs appareils en toute sécurité.
• Effacement des données à distance : Si l'utilisateur perd son appareil, il doit être formé à signaler immédiatement la perte afin que les données puissent être effacées dès que possible.
• Prévoyez une stratégie de sortie : Si l'employé quitte l'entreprise, son appareil ne doit plus être autorisé à accéder aux applications de l'entreprise et doit être désactivé de la connectivité au réseau de l'entreprise.