Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Breach Your Own Data !

juin 2013 par Emmanuelle Lamandé

Fidèle de l’événement Hack In Paris, l’expert en sécurité Winn Schwartau s’est intéressé pour ce cru 2013 à l’insécurité du BYOD (Bring Your Own Device). Aucune véritable surprise, la mise en place du BYOD en entreprise reste toujours aussi périlleuse, d’autant que les risques sont encore largement sous-estimés. Comme il aime à le dire, le BYOD se définirait plutôt comme « Breach Your Own Data » !

Le BYOD s’avère être un véritable désastre, souligne Winn Schwartau. Il n’a d’ailleurs pas volé son surnom de « Bring Your Own Disaster » ou « Breach Your Own Data ». Le BYOD est un désastre à la fois pour l’entreprise, de par notamment le risque de fuite d’informations sensibles, d’accès au réseau de l’entreprise…, mais aussi pour la vie privée des utilisateurs. La frontière étant, dans ce cas de figure, tellement floue, les risques de violation de la vie privée et des données personnelles sont majeurs. Votre device risque à terme de devenir celui de l’entreprise. Cette perte de contrôle sur l’outil, et surtout sur ses propres données, expose directement l’utilisateur et sèmera à coup sûr le trouble dans son esprit. Sans compter le fait qu’être joignable en permanence peut signifier pour certains employeurs être disponible 24h/24h. Outre le déploiement de solutions de sécurité, la mise en place du BYOD en entreprise doit donc être très encadrée, et ce sur tous les aspects : sociaux, juridiques, humains, RH…

Tout le monde veut aujourd’hui amener ses propres devices en entreprise, cependant il est important de garder à l’esprit qu’aucune de ces technologies n’a été conçue pour une utilisation professionnelle, explique-t-il. Le premier écueil provient donc de leur conception même. Contrairement au BlackBerry, qui dispose d’un système de chiffrement et de pare-feu, les « grands » principes de sécurité, que ce soit pour l’OS, le navigateur…, sont totalement absents des iPhones ou Android. Les designers, d’ailleurs, eux-mêmes ignorent bien souvent les risques.

Le vol ou la perte du device constitue l’un des principaux risques en situation de mobilité. Leur taille, associée à leur utilisation massive, si ce n’est permanente, fait que la probabilité de perdre au moins une fois l’un de ses gadgets est relativement grande. Leur valeur en fait, de plus, une source de vol privilégiée. Ce phénomène ne cesse d’ailleurs de croître, avec par là même la perte de données. Qui dit environnement mobile, OS non sécurisé… il ne faut pas être très calé pour se douter du résultat.

Le MDM évoqué à tort comme solution de sécurité

Mais comme pour tout phénomène, le risque maximal réside dans l’ignorance ou la méconnaissance et le faux sentiment de sécurité. Les risques sont souvent mal mesurés avant de passer en mode BYOD, car le choix se porte généralement sur la facilité et la simplicité d’utilisation.

« Savez-vous combien de ces devices mobiles sont aujourd’hui connectés à votre réseau d’entreprise ? Depuis près de 15 ans, nous développons des politiques de sécurité, renforçons les législations…, mais dans la majorité des cas nous ne sommes pas en mesure de savoir ce que ces outils font sur le réseau à l’heure actuelle, ni combien ils sont… »

Outre les entreprises qui n’ont aucune conscience du risque, il observe que beaucoup perçoivent à tort les solutions de MDM (Mobile Device Management) comme des solutions de sécurité, alors que leur utilité est toute autre. Et certains concepteurs ou analystes y sont pour quelque chose dans cet imbroglio. Toutefois, qu’il n’y ait pas de reprise, le MDM a aussi son utilité, puisqu’il permet globalement de gérer les parcs d’équipements mobiles (gestion des mises à jour, effacement des données à distance…). Mais, il reste une seule brique dans l’architecture de sécurité globale des mobiles.

Les solutions de containerisation ne sont pas non plus, selon lui, viables, du moins sur le long terme. Par exemple, le fait de devoir intégrer un nouveau navigateur et client de messagerie ne fait que complexifier la démarche sécurité et peut, au final, s’avérer source de vulnérabilités, estime-t-il.

Mobile Device Security Management : 4 axes de sécurité pour encadrer le BYOD

Pour Winn Schwartau, la mise en œuvre d’une politique de sécurité encadrant le BYOD reposerait plutôt sur ce qu’il appelle le MDSM (Mobile Device Security Management). Le MDSM s’articule autour de 4 axes : Mobile Device Lock-Down, Mobile Content Control, Mobile Device Encryption et Geo-location Policy Enforcement.

En ce sens, et au même titre que pour les ordinateurs professionnels, le MDSM doit donc s’appuyer, selon lui, a minima sur les éléments de sécurité suivants :
- Anti-virus, solution de détection anti-malware pour les emails et les téléchargements ;
- Sécurisation des communications professionnelles au travers d’un VPN IPSec ;
- IPS, solution de détection de l’activité malveillante et remédiation ;
- Firewalls avec une grande granularité de contrôle ;
- Filtrage du contenu ;
- L’adresse IP du device doit être masquée ;
- La mise en place de solutions de DLP et de SIEM.

Tous ces composants sont des éléments essentiels d’une politique de MDSM. Plus vous irez loin dans leur déploiement, plus vous aurez de chance d’inscrire le BYOD dans un schéma sécurisé. Toutefois, le système d’« Air Gap », qui repose sur le principe de protection par l’isolement, reste à ses yeux l’alternative la plus sécurisée, à ce jour, en environnement mobile. Même si ce n’est pas non plus la solution miracle, puisqu’aucun système n’est sécurisé à 100%.

« Nous acceptons actuellement beaucoup plus de risques qu’auparavant. Pourquoi utiliser des technologies moins sécurisées dans un environnement encore plus hostile ? Avant, il était fréquent d’avoir un BlackBerry dans une main, un iPhone dans l’autre, pourquoi avoir changé ce modèle ? Nous avons aujourd’hui perdu le contrôle et c’est, à mon sens, inacceptable », conclut-il.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants