Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Dick Bussiere, Arbor Networks : Quatre points à prendre en compte avant d’autoriser le BYOD

février 2013 par Dick Bussiere, solution architecte au sein d’Arbor Networks

L’essor de l’utilisation des tablettes, smartphones et autres terminaux mobiles crée une nouvelle problématique pour les services informatiques des entreprises : le BYOD (Bring Your Own Device). Les salariés possesseurs de ces appareils personnels demandent ou s’attendent à avoir accès aux messageries, intranets, bases de données, systèmes CRM et autres services de leur entreprise sans contraintes. L’arrivée sur le réseau de ces équipements personnels s’accompagne de nouveaux risques qu’il importe de traiter. Les services informatiques des entreprises doivent gérer au mieux ces terminaux et ils n’ont pas la possibilité de maitriser leur configuration.

La prolifération incessante du BYOD en entreprise présente de multiples défis et opportunités en termes de sécurité et de flexibilité du poste de travail, aux employeurs comme aux employés. Selon la 8ème étude annuelle sur la sécurité des infrastructures IP mondiales récemment publiée par Arbor Networks, plus de 62% des responsables interrogés autorisent leurs collaborateurs à utiliser leurs équipements personnels sur le réseau de l’entreprise. Cependant, seule la moitié d’entre eux autorise l’utilisation de services cloud publics pour la synchronisation des données entre les équipements professionnels et personnels.

D’après l’enquête, les entreprises font appel à diverses méthodes pour surveiller et détecter les équipements personnels. Les plus courantes reposent sur des « systèmes de contrôle d’accès réseau », l’« évaluation du profil de sécurité sur l’hôte » ou des « systèmes de surveillance à base de flux ». Aussi étonnant que cela paraisse, 25% des participants indiquent n’avoir mis en place aucune surveillance à l’heure actuelle.

Bien que le sujet ait déjà fait couler beaucoup d’encre, les services informatiques peinent encore à dresser la liste des points à prendre en compte pour maitriser le BYOD au sein de leur entreprise. Il s’agit par exemple du contrôle des périphériques et des applications, du renforcement de la sécurité, de la gestion et du respect des règles de sécurité ou encore de la visibilité des applications. La principale préoccupation est la sécurité. Comment les services informatiques peuvent-ils protéger leur infrastructure s’ils ne sont pas propriétaires et donc responsables de tous les terminaux mobiles ayant accès au réseau ? Comment faire respecter des règles de sécurité en fonction de la localisation, de l’heure de la journée et d’autres critères applicables à ces équipements grand public ? Comment éviter le risque d’attaques par déni de service distribué (DDoS) dans un environnement ouvert tel que celui-là ?

Les quatre points à prendre en compte pour maitriser le BYOD

L’incidence du BYOD sur les règles de sécurité existantes
Il convient d’analyser avec soin l’incidence du BYOD sur les infrastructures et règles de sécurité existantes, et d’y apporter les ajustements nécessaires le cas échéant. De nouveaux risques naguère ignorés en présence des seuls équipements professionnels doivent aujourd’hui être intégrés avec l’entrée en scène d’appareils personnels, par exemple :

• Perte de l’appareil
• Mauvaise configuration
• Installation d’applications malveillantes
• Utilisation de l’appareil par des tiers

Une sécurité appropriée exige une stratégie de protection en matière de confidentialité, d’intégrité et de disponibilité (le « triangle de la sécurité »). Pour assurer l’intégrité, le service informatique doit mettre en place diverses zones de confiance au moyen de pare-feu de type « stateful » afin de faire respecter les règles de sécurité et d’utilisation du réseau. L’arrivée du BYOD peut obliger à repenser l’emplacement de ces zones, éventuellement en imposant des règles d’accès plus strictes. La confidentialité s’obtient par de multiples moyens : elle passe par la mise en œuvre du cryptage, de l’authentification forte et de règles de sécurité soigneusement conçues. Les données sensibles de l’entreprise doivent être cryptées lorsqu’elles sont stockées sur un appareil personnel. En outre, il importe de prendre des dispositions pour faciliter l’effacement de ces informations en cas de perte (inévitable) d’un équipement. De même, les connexions doivent être cryptées lorsque les données de l’entreprise transitent par des réseaux non sécurisés. Enfin, les collaborateurs exploitant le BYOD s’attendent à ce que les services de l’entreprise soient disponibles sur le site à tout moment. Par conséquent, la disponibilité des ressources doit être garantie par l’installation de systèmes intelligents de neutralisation des attaques DDoS (IDMS). Une attaque DDoS a pour objectif de rendre un service indisponible pour les utilisateurs, en l’occurrence l’accès à partir d’un terminal personnel. Ce type d’attaque demande une méthodologie de défense différente, axée sur la neutralisation plutôt que sur l’isolement. En effet, le blocage du trafic revient souvent à réaliser l’objectif de l’attaque DDoS car en isolant entièrement la ressource ciblée dans le souci de la protéger on la rend inaccessible aux utilisateurs autorisés. Les attaques DDoS sont neutralisées grâce à une analyse heuristique des schémas de trafic et à une inspection méticuleuse du contenu des paquets de données. Le trafic qui paraît malveillant est alors écarté.

Règles variables en fonction de la localisation sur le réseau

Dans l’univers du BYOD, l’une des priorités doit concerner des règles de sécurité qui tiennent compte de la localisation sur le réseau. En particulier, il est nécessaire de mettre en place une politique de sécurité à l’échelle du réseau qui complète celle en vigueur au niveau de chaque terminal. Ce n’est qu’en instaurant des règles variables en fonction de la localisation de l’équipement sur le réseau qu’il sera possible de répondre à des questions essentielles, par exemple : à quelles ressources et données les terminaux mobiles ont-ils accès à partir de différent sites ? Comment limiter l’accès aux données à certaines heures de la journée ? Comment contrôler les données arrivant sur les terminaux mobiles, que ce soit sur le réseau de l’entreprise ou à distance ?

Contrôle d’accès à l’intranet

L’informatique doit être en mesure de contrôler les terminaux mobiles qui peuvent accéder à l’intranet et d’authentifier correctement ces équipements. Divers technologies de contrôle d’accès réseau (NAC) sont disponibles à cette fin. Dans un environnement BYOD, la solution retenue doit se montrer efficace sans nécessiter l’installation d’un logiciel client sur le terminal de chaque utilisateur. Les règles de sécurité réseau doivent s’appliquer à l’appareil, quel que soit son système d’exploitation ou son propriétaire. Les équipements impossibles à authentifier vis-à-vis du réseau sont placés en quarantaine. Dans certains cas, les équipements personnels pourront faire l’objet de règles d’accès intranet plus restrictives que ceux de l’entreprise, du simple fait qu’ils ne sont pas aussi sécurisés.

Visibilité du réseau et des applications

Les services informatiques ont besoin de visibilité sur les flux de trafic et l’usage des applications, et doivent établir un trafic de référence sur le réseau interne afin de distinguer les activités normales et inhabituelles. Des schémas de flux de données, appareil par appareil, permettent de déterminer si un terminal mobile accède à des données autorisées et s’il les transmet à des sites illicites. La capacité de détecter les activités potentiellement malveillantes sur le réseau prend encore plus d’importance en présence d’équipements personnels non gérés. La visibilité sur le réseau constitue l’unique moyen de détecter ce type d’agissements.

Conclusion

Dans un environnement accessible en permanence à des équipements personnels, la disponibilité devient un facteur critique. Porteurs de ces terminaux mobiles 24 heures sur 24, 7 jours sur 7, les utilisateurs s’attendent à ce que les services et applications soient constamment disponibles. Il importe donc, pour les informaticiens de l’entreprise, de prendre en compte ces postes de travail et modes d’utilisation non conventionnels dans la conception de l’architecture du réseau de l’entreprise mais aussi des services cloud et des interactions avec ceux-ci.

Comme pour toute autre problématique de sécurité, une méthode de défense approfondie, à plusieurs niveaux, est préférable. Pour garantir la disponibilité des services et informations critiques, le réseau doit être sécurisé non seulement au niveau de l’entreprise, mais également sur la liaison avec l’opérateur et dans le centre de données.


Voir les articles précédents

    

Voir les articles suivants