Un employé utilisant un appareil personnel sur son lieu de travail.

BYOD : Mesures de sécurité pour les appareils personnels sur le lieu de travail

août 2023
Blogue Accueil

Toute entreprise où les employés peuvent apporter des smartphones, des tablettes ou des ordinateurs portables personnels sur le lieu de travail doit se doter d’une politique de sécurité BYOD (Bring Your Own Device, « Apportez vos propres terminaux »). Presque tous les employés apportent au travail un appareil connecté à Internet qui, même s’il n’est pas activement connecté au réseau de l’entreprise, peut présenter des risques pour la sécurité.

L’utilisation d’un appareil personnel pour quelque chose d’aussi anodin que l’envoi d’un e-mail professionnel peut créer des vulnérabilités dans le réseau d’une entreprise. Les entreprises de toutes tailles considèrent la sécurité du BYOD comme un défi, car elles doivent exercer un certain contrôle sur les smartphones et les tablettes appartenant à leurs employés. Après tout, 40 % des violations de données sont dues à des appareils perdus ou volés. Toutefois, dans les cultures qui mettent l’accent sur la liberté individuelle, les politiques de ce type peuvent se heurter à la résistance ou au ressentiment des employés. Il est donc préférable d’adopter une approche délicate mais ferme de cette question.

Que peuvent faire les entreprises pour améliorer leur cybersécurité dans ces conditions ? L’une des options consiste à interdire totalement le BYOD et à appliquer rigoureusement la politique de l’entreprise. Cependant, le marché mondial du BYOD est vaste et en pleine croissance. En 2022, il était est estimé à 350 milliards de dollars. Et la tendance du travail à domicile, catalysée par la pandémie, a accéléré sa croissance. L’autre option consiste à accepter cette réalité, tout en adoptant des politiques BYOD et de sécurité basées sur le bon sens, afin de rendre le BYOD plus sûr à la fois pour l’entreprise et pour les employés. La plupart des entreprises considèrent qu’il s’agit de l’option la plus facile à mettre en œuvre, même si toute politique BYOD sensée nécessite des efforts et de la réflexion.

Risques liés à la sécurité du BYOD

Dans une certaine mesure, le BYOD permet aux entreprises de dépenser moins en matériel et en logiciels pour leurs employés. 82 % des entreprises autorisent leurs employés à utiliser des appareils personnels dans le cadre de leur travail. 71 % estiment que cela permet aux employés d’être plus à l’aise lorsqu’ils utilisent ces appareils, étant donné qu’ils sont plus habitués à leurs téléphones personnels. 58 % y voient un gain en productivité. Toutefois, seuls 55 % d’entre elles estiment que cela permet de réduire les coûts. Pourquoi cet écart ? Probablement parce que parmi les entreprises dont les politiques de sécurité autorisent le BYOD, 50 % subissent des violations de données via les appareils appartenant aux employés. Il n’est donc pas étonnant que 26 % des entreprises qui s’opposent à l’adoption de politiques BYOD citent les problèmes de sécurité comme obstacle principal.

Meilleures pratiques en matière de sécurité du BYOD

Des collègues utilisent ensemble des ordinateurs portables, des tablettes et des téléphones mobiles

Toute politique BYOD digne de ce nom doit couvrir les points suivants :

  • Types d’appareils autorisés
  • Utilisation acceptable : à quelles applications et à quelles ressources les employés peuvent-ils accéder à partir de leurs appareils ?
  • Exigences minimales pour les contrôles de sécurité des appareils : quelles mesures de sécurité l’entreprise exigera-t-elle pour les appareils BYOD ?
  • Composants fournis par l’entreprise : par exemple, certificats SSL pour l’authentification des appareils
  • Droits de l’entreprise concernant la modification de l’appareil : par exemple, effacement à distance en cas de vol ou de perte de l’appareil
  • Qu’advient-il des données de l’entreprise sur les appareils des employés qui quittent l’entreprise ?
  • Qui est propriétaire des applications et des données présentes sur l’appareil ? Le personnel sera-t-il remboursé par l’entreprise pour les applications ou les frais mensuels ?
  • Quelle assistance le service informatique apportera-t-il aux propriétaires des appareils ?

Les dispositions suivantes devront être prises en compte par les décideurs afin que les meilleures options puissent être mises en œuvre dans leurs politiques :

  • Des règles basées sur le bon sens : limitation des appels personnels et des vidéos au travail, interdiction d’utiliser l’appareil au volant.
  • Maintenance et mises à niveau : toute politique finalisée doit garantir que les employés maintiennent leurs appareils et applications à jour.
  • Dispositions relatives au transfert de données : les données de l’entreprise doivent être chiffrées, protégées par un mot de passe et transférées uniquement sur des applications mandatées par l’entreprise.
  • Dispositions relatives aux mots de passe : l’utilisation d’un mot de passe n’est évidemment pas négociable pour protéger les informations sensibles ; une authentification à deux facteurs peut également être exigée.

Dispositions relatives à la protection de la vie privée : comment les entreprises peuvent-elles trouver un équilibre entre protection des données et protection la vie privée des employés dans le cadre du BYOD ?

Politique de sécurité du BYOD

Comment concevoir des pratiques BYOD cohérentes et sécurisées ? L’élaboration d’une politique de cette ampleur doit impliquer à la fois les employés et les parties prenantes. L’avis des employés peut être recueilli au moyen d’un sondage, ce qui constitue une excellente base pour la planification d’une politique. Les responsables, les RH, le service informatique, le service financier et le service de sécurité doivent tous être impliqués et représentés dans l’équipe de gestion du projet BYOD. Leur contribution sera des plus utiles.

Une fois le sondage envoyée et les réponses reçues, il est utile d’analyser les données et les applications qui sont nécessaires sur les appareils des employés. Une fois la politique mise en place, la formation est une étape essentielle du processus. Les employés à tous les niveaux doivent recevoir des instructions sur le protocole de traitement des données, le dépannage des appareils, la procédure à suivre en cas de perte ou de vol d’un appareil, les applications à utiliser et les mesures anti-phishing, ainsi que des instructions plus générales sur la vigilance à l’égard des cybermenaces.

Il est largement admis que les employés non formés à la cybersécurité représentent le plus grand danger pour l’intégrité des données de l’entreprise. En 2014, 87 % des responsables informatiques estimaient que les appareils mobiles utilisés par des employés négligents constituaient la plus grande menace pour les entreprises. En 2020, 96 % des attaques contre les appareils mobiles ont utilisé des applications comme vecteur. Cela s’explique par le fait qu’une très grande majorité d’applications (près de 4 sur 5) intègrent des bibliothèques tierces susceptibles de créer des vulnérabilités.

Quelles sont les applications qu’une entreprise mettant en œuvre une politique BYOD rigoureuse devrait utiliser ? Une étude a montré que les employés utilisent au moins cinq applications chaque jour. Les entreprises devraient inclure une plateforme de messagerie, une messagerie électronique et un système de gestion de la relation client (CRM) dédiés et sécurisés, et toute autre application dont elles pensent que leurs employés auront besoin. Veillez à ce que les applications à risque soient explicitement interdites.

Les entreprises doivent également mettre en place des procédures spécifiques pour les employés qui quittent l’entreprise, quelle qu’en soit la raison. Lorsqu’un employé quitte l’entreprise, l’entreprise doit s’assurer que toutes les données sont supprimées de ses appareils, et que son accès aux applications de l’entreprise soit bloqué. Toutefois, cette obligation présente de nombreuses difficultés, et constitue souvent un obstacle à la mise en place de politiques BYOD et à l’utilisation des appareils personnels des employés.

La force d’une politique dépend de la capacité de l’entreprise à la faire respecter, ce qui implique malheureusement des conséquences pour ceux qui ne peuvent pas s’y conformer. Toute politique doit contenir des détails spécifiques concernant le suivi, la mesure et l’application de la responsabilité « distribuée » afin que tous les membres de l’équipe en soient conscients. Le manque de supervision est l’un des principaux problèmes liés à la mise en œuvre du BYOD. Les entreprises ont besoin d’un personnel d’assistance informatique en nombre suffisant pour permettre aux employés de s’équiper, avec une assistance et un suivi continus.

Une fois les systèmes et les protocoles sécurisés, la priorité doit être donnée à la formation des employés. Pour que le BYOD soit une réussite, il est essentiel de faire comprendre aux employés l’importance d’une utilisation acceptable et d’une hygiène de base en matière de sécurité des données.

Vue aérienne de trois personnes travaillant à un bureau avec des ordinateurs portables, des tablettes et des documents.

Solutions de sécurité du BYOD

Les solutions de sécurité à envisager dans le cadre d’une politique BYOD sont les suivantes :

  • Chiffrement des données au repos et en transit.
  • Antivirus : fourni par l’entreprise ou que les employés doivent obligatoirement installer.
  • Surveillance : suivi de la localisation GPS des appareils des employés ou du trafic Internet, etc.
  • Conteneurisation : appareils séparés en bulles personnelles ou financières avec protection par mot de passe.
  • Formation à l’hygiène des mots de passe, y compris l’obligation de les modifier régulièrement.
  • Mise en liste noire : bloquer ou restreindre des applications spécifiques parce qu’elles présentent un risque pour la sécurité opérationnelle ou nuisent à la productivité. Cela n’est généralement pas possible sur les appareils appartenant aux employés, sauf dans le cas de la conteneurisation.
  • Mise en liste blanche : n’autoriser l’accès qu’à certaines applications approuvées, ce qui est généralement plus pratique pour le matériel distribué par l’entreprise.
  • Exiger des sauvegardes régulières, ainsi que de mises à jour des applications et des systèmes d’exploitation.
  • Formations et actualisations périodiques sur la manière de sécuriser les données de l’entreprise lorsque les employés accèdent au réseau Wi-Fi à partir d’appareils BYOD.
  • Restriction de l’accès aux données : pour prévenir les fuites de données, l’accès aux données doit être étroitement contrôlé de sorte que seules les personnes qui ont besoin d’accéder à des ensembles de données spécifiques dans le cadre de leur travail puissent le faire à partir de leurs appareils personnels.

Outils de surveillance de la localisation des données et des schémas d’accès aux données, afin de détecter les comportements suspects tels que l’accès à partir de lieux non sécurisés ou douteux (par exemple, la Corée du Nord).

L’une des méthodes permettant d’améliorer la sécurité des systèmes BYOD consiste à fournir aux employés des clés USB et des SSD chiffrés. Cette solution est plus économique que de fournir des téléphones ou des tablettes à l’ensemble du personnel et beaucoup plus simple que de conteneuriser tous les appareils qu’un employé apporte sur site. Et les données stockées sur ce clés USB et SSD sont beaucoup mieux protégées que sur un appareil moyen. Avec un chiffrement de qualité suffisante, un voleur qui parviendrait à se procurer un disque chiffré ne pourrait en aucun cas accéder aux données sensibles.

#KingstonIsWithYou #KingstonIronKey

Icône Demandez à un expert de Kingston sur un circuit imprimé de chipset

Demandez à un expert

Pour planifier la bonne solution, les objectifs de votre projet de sécurité doivent être clairement définis. Les experts de Kingston Technology sont là pour vous aider.

Demandez à un expert.

Vidéos associées

Trisha regarde son écran avec stupeur et consternation, une tête de mort et un triangle de danger s’affichent à l’écran. 3:59

Comment sécuriser vos comptes en ligne

Comment maximiser votre sécurité en ligne en prenant des mesures pour protéger votre présence web.

Articles

Blogue Accueil