Les appareils mobiles personnels que les employés apportent au bureau représentent un risque accru pour la sécurité des entreprises.
Inévitable, le phénomène Bring Your Own Device (apportez vos propres terminaux), communément appelé BYOD, est au coeur des enjeux de sécurité en entreprise.
Cadres et employés préfèrent souvent utiliser leurs propres appareils au bureau, qu'il s'agisse de téléphones intelligents, d'ordinateurs portables ou de tablettes dernier cri. Une nouvelle réalité qui ne peut désormais plus être ignorée et à laquelle doivent s'adapter les entreprises qui voient leur sécurité informatique mise en danger.
«La tendance BYOD est un des sujets dont on discute le plus actuellement en matière de sécurité informatique. L'ennui, c'est qu'il n'y a pas de solutions parfaites à cette problématique», dit Alex Bédard, directeur de la sécurité chez TechnoConseil et président de l'Association de la sécurité de l'information du Québec.
Les appareils des employés servent à la fois d'outils personnels et de travail. Prêtés aux membres de la famille, branchés ici et là, à des réseaux parfois moins fiables, les terminaux mobiles qui contiennent de l'information sensible sont souvent mal protégés.
Politique d'entreprise
«Le problème le plus important demeure l'être humain. Il est nécessaire d'instaurer une politique d'entreprise, une sorte de contrat de sécurité entre l'entreprise et ses employés. Ensuite, il faut créer un programme de sensibilisation, avec des exemples concrets pour aider les employés à mieux comprendre les risques associés à certaines pratiques», suggère Alex Bédard.
À titre d'exemple, plusieurs personnes ont tendance à utiliser les mêmes identifiants et mots de passe sur l'ensemble de leurs appareils. Ou encore à garder de l'information sensible sur leur ordinateur portable au cours d'un voyage à l'étranger. Des pratiques peu sûres à proscrire, donc.
Récupération de données
«Pour les employeurs, il est avantageux que les gens utilisent leurs propres appareils puisqu'ils n'ont pas à les financer. Mais ces appareils contiennent à la fois des informations personnelles et d'autres qui n'appartiennent pas à l'employé», rappelle Michel Cusin, consultant en sécurité de l'information.
Il suggère que toute entreprise d'importance devrait avoir une infrastructure qui permette la récupération des données lorsqu'un employé quitte l'entreprise ou s'il est congédié.
«Il faut s'assurer d'effacer ce qui appartient à l'entreprise sur les appareils personnels des employés. Au besoin, on peut le faire à distance», dit-il.
À l'instar d'Alex Bédard, Michel Cusin croit aussi essentielle la création d'une politique d'entreprise. L'employé devrait ainsi prendre connaissance des règles à suivre et signer une entente, sans quoi il ne pourra utiliser son appareil au travail.
Solution Cisco ISE
Comme la tendance BYOD est particulièrement récente, les solutions informatiques commencent à poindre timidement. Cisco s'est intéressée au phénomène et a mis au point une solution de gestion des terminaux mobiles qu'elle implante graduellement dans son entreprise depuis un an et demi.
L'entreprise, qui compte 70 000 employés, a créé un système pointu de profilage qui assure la gestion des accès aux réseaux de l'entreprise.
«On va d'abord valider l'identité de la personne. Est-ce un employé, un consultant, un invité? Ensuite, on détermine le type d'appareil utilisé, s'il s'agit d'un appareil d'entreprise ou d'un appareil appartenant à l'employé. S'il ne s'agit pas d'un appareil d'entreprise, par exemple, la personne aura accès à moins de privilèges une fois son appareil branché au réseau», explique Sylvain Lévesque, ingénieur spécialisé en sécurité chez Cisco.
Le système localise aussi l'appareil pour savoir s'il se trouve à l'étranger ou dans l'entreprise, entre autres. Enfin, il considère l'heure à laquelle le terminal accède au réseau. Bref, autant de types d'accès possibles que de profils imaginables constituent la solution ISE (Identity Services Engine) de Cisco.
«On a plusieurs clients en phase test ou de déploiement, comme des agences gouvernementales, des universités, des banques», dit Sylvain Lévesque.
Si la solution ISE n'est pas celle de tous, il n'en demeure pas moins que la question de la gestion des terminaux mobiles personnels en entreprise doit être plus que jamais prise au sérieux.