Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Lundi de l’IE sur le BYOD, Bring Your Own Device du Cercle d’Intelligence Economique du MEDEF Ile-de-France

mars 2012 par Gérard Péliks _ Coordinateur de l’activité sécurité des "Lundi de l’IE" du Medef Ile-de-France

Ceci est un compte-rendu du "Lundi de l’IE" de février 2012 sur le phénomène du BYOD, évènement magistralement mené en duo par MM Cédric Girardclos , cofondateur et dirigeant d’Adjungo, et Fabrice Hatteville, responsable sécurité voix Thales Communications & Security.

© Hadi Djunaedi

Espace personnel et espace professionnel accessibles sur un même outil : SmartPhone ou tablette

Les organisations, en commençant par les PME aux Etats-Unis permettent, et même conseillent à leurs employés d’utiliser leurs propres moyens d’accès à l’information, smartphones et tablettes, où se mêlent, de manière étanche pour les utilisateurs les plus conscients, leurs données personnelles et celles de leur organisation qui finance en partie le matériel, la connexion et les logiciels.

Plus qu’une tendance, le BYOD est un phénomène qui déferle aujourd’hui sur nos organisations en Europe. Mais nos organisations ne sont encore, pour la plupart, préparées à affronter le BYOD qui pose par ailleurs d’immenses problèmes de sécurité sur l’Information (confidentialité, intégrité, authenticité, et bien sûr connectivité pour accéder à l’Information et aux applications).

Aujourd’hui aucun dogme n’accompagne ce point de rupture dans l’utilisation de l’information mais l’information sensible de l’organisation doit être protégée. L’utilisateur qui a pris des habitudes de facilité d’accès et d’utilisation de son espace de travail personnel, s’attend à retrouver les mêmes facilités et le même comportement intuitif en utilisant son espace professionnel. Ne pas en tenir compte et c’est le rejet qui menace. L’utilisateur a pris l’habitude de se servir en applications dans des "App stores" ou des "Androïd markets" ou équivalents. Fermer ces sources d’approvisionnement et pour l’utilisateur le smartphone n’a plus de sens. On trouve en moyenne une soixantaine d’applications installées sur un équipement aujourd’hui, et souvent avec des privilèges aberrants vus d’un responsable sécurité.

Sans sécurisation du média, la fuite de données est inévitable et les appels pirates surtaxés et hors contrôle, une réalité prévisible. L’ingérence économique, pour ne pas parler de cyber espionnage fait rage. 5200 entreprises en France ont reconnu en avoir été victimes en 2011, mais face à ce danger, les entreprises françaises font preuve d’une grande naïveté, préjudiciable pour leur compétitivité, quand ce n’est pas pour leur survie. Pourtant, alors que les PC dans les entreprises sont pratiquement tous équipés de logiciels de sécurité, antimalwares, firewalls personnels, seuls 25% des smartphones peuvent prétendre en être équipés aujourd’hui.

Et que dire des terminaux qui sont perdus avec toutes les données confidentielles qu’ils contiennent. En une année, 800 000 terminaux ont été perdus ou volés rien que dans la ville de New York. L’Europe totalise 20% des terminaux "égarés", l’Asie 50%.

Quel constructeur sera le grand vainqueur du phénomène BYOD ?

L’histoire nous enseigne depuis plus de quinze ans qu’aucun constructeur n’a pu garder le leadership d’une technologie plus de cinq ans. Motorola, puis Nokia, puis RIM avec le BlackBerry ont dominé le marché puis laissé la place à une autre étoile montante. Aujourd’hui, Androïd possède 60% du marché et Samsung fait plus fort qu’Apple.

Le BYOD est un réel changement de paradigme, tout comme le furent la banalisation du téléphone mobile en 2000 qui permettait de téléphoner et de communiquer par SMS, l’arrivée du Black Berry avec le push mail en 2008 qui ajoutait à la voix et aux SMS, la messagerie d’entreprise, tout comme le furent le iPhone et le iPad d’Apple en 2010 qui, sans être une révolution, ont été une rupture dans l’outillage. Aujourd’hui le BYOD n’est pas seulement une tendance ; on peut parler de Tsunami qui gonfle et qui va submerger nos habitudes de travail et notre rapport avec l’Information.

Le nombre de smartphones et de tablettes explose. 2012 sera l’année de la tablette. On observe une fragmentation des applications et des systèmes d’exploitation, un enchevêtrement entre les applications professionnelles et les applications personnelles. De nouveaux usages apparaissent, poussés par les utilisateurs, les applications spontanées envahissent les entreprises et ce phénomène qui gonfle de jours en jours ne peut plus être évité. De quoi donner des nuits sans sommeil aux responsables sécurité.

Combien y a-t-il de tablettes et de smartphones en utilisation dans une entreprise ? Quel est leur niveau de sécurité ? Où se situent les données quand elles sont hébergées dans un Cloud ? Les tablettes et smartphones du Top Management sont-elles à l’abri des cyberprédateurs de tous poils ? Autant de sujets brûlants sur lesquels aujourd’hui, on préfère souvent jeter un voile prudent pour éviter un malaise, tout ceci, bien entendu au grand désarroi des responsables sécurité.

Alors que faire ? Ne rien faire, attendre, se laisser submerger et perdre le contrôle de son système d’Information ? Reprendre la souveraineté perdue et comment ? Imposer des sécurités en bridant l’environnement professionnel ? Diminuer les risques résiduels au prix d’un rejet des utilisateurs ? Les équipes sont elles compétentes et conscientes face au phénomène du BYOD ? Voilà de bonnes questions et pour y répondre, il faut savoir qu’il n’y a aujourd’hui aucun dogme, car il y a autant de réponses que de smartphones, de tablettes et d’utilisateurs.

Si la question du cumul (outil personnel et outil professionnel) pourrait se poser avec des smartphones relativement fins et petits, donc on pourrait en mettre deux dans sa poche, Il est difficilement concevable d’avoir sur soi une tablette personnelle et une tablette professionnelle, donc il est de moins en moins possible d’éviter les usages à la fois personnels et professionnels sur une même tablette.

Alors il est plus que nécessaire de considérer le phénomène du BYOD dans ses quatre dimensions pour accompagner les utilisateurs, avec douceur et harmonie :

 Un contexte métier avec comme règle d’or avec une approche segmentée par les usages ;
 une dimension ressources humaines qui doit officialiser la démarche en - un contexte technologique avec une approche multicouches (gestion de flotte, virtualisation, VPN, chiffrement,…)
 et un contexte juridique qui établit les responsabilités, indique qui paye quoi, comment les licences sont gérées et bien sûr, que devient le terminal et les applications qu’il contient quand son détenteur quitte l’entreprise

Aller trop vite, c’est s’exposer à des investissements très coûteux et pas très malins

Cédric GIRARDCLOS indique la démarche d’Adjungo en dix points pour accompagner ses clients dans une démarche BYOD. De la demande d’accès aux systèmes de l’entreprise jusqu’à la mise à jour de sa politique de sécurité pour admettre l’utilisation d’applications spontanées, autant de sages conseils qu’il prodigue à ses clients et que, par respect pour sa valeur ajoutée, je ne détaillerai pas dans ce compte-rendu (rien ne remplace l’intérêt d’assister à nos évènements en direct, pensez-y pour le prochain
Lundi de l’IE).

Fabrice HATTEVILLE, Thales, à une question (posée par moi d’ailleurs ;-) ) sur l’existence de solutions qui sécurisent l’espace professionnel sur un smartphone sous Androïd, en le compartimentant, le chiffrant et le séparant de l’espace personnel, évoque l’offre Teopad. Ecoutez et voyez Fabrice en parler sur :
http://www.youtube.com/watch?v=DcrrYb-pdOE durant les Assises de la sécurité à Monaco.

Quand on sait que le pourcentage de la population qui utilise le nomadisme pour travailler depuis le domicile, est aujourd’hui de 33% pour la Finlande, 28% pour les USA mais seulement de 9% pour la France, avec une moyenne en Europe de 18%, on peut constater que le phénomène frappe à nos portes malgré un certain retard, conclure que l’utilisation des smartphones et des tablettes permet des gains importants de productivité, mais que la sécurité de l’Information ne doit pas être oubliée.

Le système d’information sort aujourd’hui des frontières des organisations, aussi faut-il vite prendre conscience des aspects non seulement techniques mais aussi juridiques et sociaux posés par le BYOD, pour éviter la chienlit et garder la souveraineté sur son système d’information.

Par Gérard Péliks
Coordinateur de l’activité sécurité
des "Lundi de l’IE" du Medef Ile-de-France
gerard.peliks (at) cassidian.com


Voir les articles précédents

    

Voir les articles suivants