Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : Consumérisation de l’IT et Sécurité de l’Information, les RSSI vont devoir mettre de l’eau dans leur vin…

mai 2012 par Marc Jacob

Jean-Marc Grémy, Vice-Président du CLUSIF, a rapidement présenté le sujet, puis a cédé la parole au nouveau Président du CLUSIF. Pour cette nouvelle édition, Lazaro Pejsachowicz, Président du CLUSIF, a mis l’accent sur le fait que pour la première fois le CLUSIF a travaillé avec cinq intervenants pour ce sujet complexe qu’est la sécurité du BYOD. En fait, il s’agissait de comprendre le périmètre du BYOD et ses enjeux. Pour cela, Chadi Hantouche, Consultant sécurité de Solucom, Loup Gronier, Expert sécurité de Devoteam, Maître garance Mathias, Pascal Saulière de chez Microsoft et un RSSI d’un grand compte se sont succédés à la tribune. Le BYOD s’impose aujourd’hui dans les entreprises et les RSSI vont devoir faire avec… et « mettre de l’eau dans leur vin ». Avant de lancer le débat, Lazaro Pejsachowicz a annoncé la création d’un Clusir à la Réunion.

Lazaro Pejsachowicz Président du CLUSIF

Jean-Marc Grémy, Vice-Président du CLUSIF

Chadi Hantouche , Consultant sécurité de Solucom, a abordé le BYOD par l’angle de l’analyse de risques. Il a débuté son intervention par un petit rappel historique en montrant que c’est un concept ancien qui a commencé aux Etats-Unis par le « Bring Your Own Bottle » dans les soirées. Mais c’est Apple qui a lancé le concept en proposant à ses clients de choisir leurs propres éléments pour composer leurs ordinateurs. En 2006, BP avait introduit le concept en incitant ses salariés à amener leur propre PC. Entre 2011 et 2012, le nombre de requêtes sur le thème du BYOD sur Google a doublé selon Chadi Hantouche, c’est un signe des temps...

Chadi Hantouche a rappelé que les risques liés au BYOD ne sont pas tous nouveaux. Il a cité, entre autres, les risques sur les données, sur le SI de l’entreprise et les risques réglementaires. Toutefois, ils doivent être intégrés dans leur globalité. Pour réduire ces risques, les réponses sont multiples. Bien sûr, la première est de réduire les possibilités d’usage. Par contre, cette méthode peut entraîner un rejet du BYOD du fait des contraintes. Pour sécuriser les données, il a recommandé d’éviter de stocker des données sur les terminaux, en particulier avec la « Webisation » des applications, mais aussi en faisant des silos applicatifs, avec donc des parties réservées à l’entreprise et sur lesquelles elle a la main. Il a rappelé qu’il existe aussi des produits de gestion de flotte qui offrent des solutions de sécurisation. Bien sûr, en fonction des cas, certaines de ces méthodes seront plus adaptées que d’autres.

Chadi Hantouche , Consultant sécurité de Solucom

Concernant la connexion au sein des entreprises, des problèmes de surcoût peuvent survenir si l’on souhaite utiliser des solutions de connexion sécurisées. Par ailleurs, des problèmes organisationnels et de management peuvent apparaître en fonction de ceux qui possèdent de tels outils et non en particulier en termes de réactivité, sans compter ceux liés à la vie privée, à l’effacement des données... Il est donc nécessaire de trouver des solutions d’encadrement des problèmes juridiques et RH.

Pour les RSSI, de nouvelles approches de la sécurité sont nécessaires. Dans ce nouveau monde, les RSSI auront moins de configuration à faire, mais plus de responsabilisation et de sensibilisation des utilisateurs que de support. Ainsi, il recommande de mettre en place des forums entre utilisateurs par exemple.

Aujourd’hui, il préconise de débuter par les besoins incontournables sur lesquels il y a des solutions techniques mûres et d’autres sur lesquelles il faut lancer des POC. Les notions de culture d’entreprise sont importantes. Il faut savoir au préalable quels services l’on souhaite amener aux utilisateurs et surtout ne pas négliger les parties non techniques. Il faut, par exemple, définir des règles d’utilisation. La démarche projet est donc classique. En conclusion, le BYOD est sans doute l’avenir de la SSI. Il faut pour les utilisateurs une solution ergonomique pour éviter les rejets. Par contre, les économies restent encore à démontrer... La consumérisation va sans doute s’élargir, avec des solutions de type BYO Identity....

Loup Gronier, Devoteam

Du Bring Your Own Device au Buy Your Own Device

Selon Loup Gronier, Devoteam, le BYOD arrive à la version 0.1 qui est celle où l’on demande aux salariés d’acheter leur propre outil. Les nouvelles générations veulent rester toujours connectées. De plus, les prix d’achat baissent sans arrêt poussant ainsi les utilisateurs à acquérir très facilement de nouveaux devices. En outre, on demande aux sous-traitants d’amener leur propre matériel. Ainsi, les utilisateurs ont des outils plus récents et qui changent plus souvent, avec par exemple l’effet "Noël"...

On associe souvent le BYOD aux Smartphones et aux tablettes, mais c’est oublier qu’au départ il s’agissait d’inciter les utilisateurs à amener leur propres outils, en particulier des Mac, des disques durs externes, des cartes réseaux... mais tous ces appareils peuvent aussi sortir des données de l’entreprise. Jusqu’en 2010, le BYOD était plutôt anecdotique dans les entreprises. Aujourd’hui, on se trouve dans la situation de savoir comment l’intégrer. A l’horizon 2015 et peut-être même avant, les DAF se posent la question du "Buy Your Own Device" en proposant un remboursement de ces achats. Ainsi, cela permettra de mieux piloter les enjeux financiers. Ce phénomène se voit sur la téléphonie, mais devrait passer aux PC. Les populations ciblées sont soit les VIP, les Générations Y, voire même tous les collaborateurs. Pour Loup Gronier il faut aussi se poser la question de : « quelles applications sont concernées et jusqu’où on peut aller en ce domaine ». Pour lui, le Buy YOD est un périmètre plus large qui amène donc des risques de fuite d’informations. La question de la sécurisation des informations de l’entreprise et la cohabitation des informations personnelles se pose donc. Avec le Buy YOD, on aura plus facilement les moyens pour accroître le niveau de sécurité. Par contre, au niveau juridique, les problèmes se multiplient, en particulier concernant l’effacement des données à distance sur ce type de produit. Par contre, des problèmes se posent en cas de généralisation par exemple si l’employé n’a pas son outil personnel : « est-ce une faute professionnelle ? ». Sans compter, bien sûr, les problèmes d’IT que cela pose en termes d’homogénéité du parc informatique. Par contre, cette évolution est inévitable. Il est donc nécessaire de limiter les risques en l’encadrant tant que l’on peut. Il faut ne pas limiter sa réflexion aux Smartphones et aux tablettes, mais à tous les périphériques : la clé USB 3G, le disque dur, les cartes réseaux... et bien sûr les PC. Pour Loup Gronier, la partie technique n’est rien comparée aux problèmes juridiques et RH.

Maître Garance Mathias

BYOD : changement sociétal aux conséquences multiples, mais qui n’est pas une nouveauté

Maître Garance Mathias a abordé les aspects règlementaires et juridiques. Elle a rappelé que les enjeux sont globaux : juridique, RH... Aujourd’hui, tout le monde apporte son outil de communication, mais aussi le personnalise, il devient ainsi un objet « émotionnel ». Elle a rappelé que dans le passé, il y a toujours eu des salariés qui amenaient leur propre matériel sur le lieu de travail que cela soit un stylo ou tout autre outil. Par contre, il n’y a jamais eu de jurisprudence sur ce problème.

Elle a rappelé que le BYOD a, entre autres, pour conséquence d’accroître le stress des salariés du fait de l’hyper-connectivité, mais aussi la discrimination entre les salariés, tant au niveau des populations concernées que des types de devices utilisés. L’aspect juridique commence par les problèmes liés à la séparation entre données personnelles et professionnelles, en cas de perte de l’outil... Par exemple, au niveau du lien de subordination dans lequel l’entreprise doit mettre à disposition les outils pour travailler, alors que l’employé doit amener son propre device. Par exemple, elle a aussi évoqué le problème des licences, de téléchargement illégal... de dommage causé à cause de l’outil à un collègue ou à un client... ou encore de rupture de prime à bord dans le cas où l’employeur ne fournit pas l’outil de travail. Elle a rappelé le principe de responsabilité de l’employeur vis-à-vis de ses salariés et au regard des tiers, même dans le cas de dommage causé par un tiers avec les outils personnels. Par contre, elle a évoqué le problème d’accès aux données contenus dans le device personnel par l’entreprise. Pour Garance Mathias, il est nécessaire d’avoir une réflexion en concertation avec les organisations représentatives du personnel. Elle a aussi rappelé que donner une somme à des salariés pour acheter un outil est considéré comme un avantage en nature... au même titre qu’une voiture de fonction. Elle a mentionné les problèmes liés à la durée légale du travail. En effet, l’état « d’hyper connecté » ne correspond pas au concept de temps de travail légal. Ainsi, il est nécessaire de modifier les chartes de sécurité, les politiques de sécurité, mais aussi les contrats de travail et mettre des limites. Il faut aussi bien déterminer les types de population concernés, le type de matériel financé ou non… mais aussi savoir que faire en cas de refus du salarié d’amener son propre outil... Cette série de questions devrait permettre de sensibiliser les salariés aux problèmes juridiques amenés par le BYOD.

Pascal Saulière, Microsoft France

Quelques solutions de sécurisation du BYOD

Pascal Saulière, Microsoft France, a présenté l’approche de son entreprise sur le BYOD. Pour lui, les DSI doivent modifier leurs infrastructures, Microsoft a une stratégie basée sur deux approches : la première concerne le terminal et les OS... La seconde s’attaque aux infrastructures. En préambule, il a posé un certain nombre de questions, comme par exemple comment permettre à un device non managé de se connecter au Wi-fi de l’entreprise. Comment limiter les types de données accessibles et donc réduire la fuite d’information....

Pour la sécurité des terminaux, il s’agit d’utiliser le protocole de contrôle EAS pour imposer des politiques de sécurité. Par contre, tous les périphériques n’ont pas le même niveau de sécurité. Il est donc nécessaire d’investir dans des produits de Mobile Device Management (MDM), mais aussi des solutions de chiffrement et de mise en silo sont recommandées... Microsoft a testé avec succès ses solutions avec différents mobiles.

Pour l’infrastructure, le 802.1X permet de s’authentifier avec des certificats ou sans selon les cas. Selon Pascal Saulière, la classification et l’isolation des données sont relativement simples à mettre en œuvre avec de l’IPsec. La gestion des droits numériques permet de faire suivre avec le document les règles d’authentification, de lecture, d’impression... Des solutions d’accès distant peuvent être mises en œuvre. Dans Windows 8, quelques solutions seront proposées, en particulier pour les tablettes.

BYOD : les problèmes pratiques peuvent se poser...

Un RSSI d’un grand compte a présenté son approche du BYOD et son application au sein de son entreprise. Depuis fin 2010, avec l’arrivée de l’iPhone, le Top management s’est intéressé à ce problème. Il a été décidé d’interdire l’iPhone, ce device n’étant pas suffisamment sécurisé. Un groupe de travail a été constitué afin d’étudier les évolutions possibles du BYOD dans lequel il est apparu que l’aspect discrimination a été abordé par la RH. Sur l’aspect juridique, des problèmes d’imputation des coûts de cette hyper connectivité, en particulier sur les lieux de vacances à l’étranger avec des coûts de connexion parfois exorbitants, se sont posés. Le choix de cette entreprise a été de faire une bulle de sécurité autour des informations de l’entreprise en faisant de la protection avec un système de chiffrement. Par contre, le terminal choisi n’était pas, au départ, en mesure de lire les mails chiffrés... Par la suite, les VIP ont souhaité avoir tous les documents sur leur iPad, mais encore une fois au début, ils n’avaient pas de possibilité de les lire... Ces problèmes ont été résolus par la suite, grâce à certaines adaptations des solutions.

Par contre, en 2012, un confrère, sans se soucier des problèmes de sécurité engendrés, a décidé de mettre tous ces outils dans le Cloud pour que tous les employés aient accès à leurs mails, à toutes les données... grâce à un simple système d’authentification, au lieu de mettre les collaborateurs dans une bulle de sécurité. Devant cette nouvelle stratégie, la société de ce RSSI a organisé un challenge entre les employés pour tester le BYOD de façon plus large. Par contre, elle s’est heurtée a un nouveau problème n’ayant pas de Wi-fi. Ainsi, un projet a été mené pour monter un réseau. Il a évoqué d’autres problèmes pratiques : par exemple, si les collaborateurs amènent leur propre PC, faut-il tout de même leur acheter des écrans plus grands ? Peut-on faire du « demi BYOD » ou du « Demi Cloud » ? Dans le cas de ce grand compte, avec le BYOD, il s’agit, comme il le fait déjà pour ses clients, de maîtriser des connections de postes qu’il ne connait pas. Donc, l’une des pistes serait de poser des logiciels de suivis comportementaux, mais aussi de positionner des logiciels anti-fraude afin de bloquer les transactions dès qu’un problème est détecté.

Lazaro Pejsachowicz a conclu ce débat en rappelant la mise en garde du BSA aux entreprises sur le fait qu’elles sont responsables des logiciels installés sur les outils de travail de leurs salariés, BYOD ou non…




Voir les articles précédents

    

Voir les articles suivants