Les entreprises, qui peinent déjà à protéger leur système informatique contre les cyberattaques, font face à l'utilisation exponentielle par leurs salariés de smartphones et tablettes personnels pour travailler, un nouveau casse-tête sécuritaire, selon les experts du secteur.
Le phénomène du «BYOD», pour «Bring your own device» (apportez votre propre terminal) fait l'objet de plusieurs ateliers de travail aux Assises de la Sécurité de Monaco, qui rassemblent du 3 au 5 octobre un millier de spécialistes de la sécurité informatique.
«Cette tendance est née avec l'iPhone, le premier smartphone avec un vrai système de navigation qui s'est montré plus puissant que les téléphones que pouvait fournir l'employeur», explique à l'AFP Sylvain Gil, expert de la société Imperva.
Du fait du développement du télétravail et de la mobilité des salariés, «le travail est ainsi devenu une activité et non plus un lieu», résume Laurent Heslault, directeur des Stratégies sécurité de Symantec France.
«Il y a aussi la crise économique: certaines entreprises proposent à leurs salariés d'acheter à leurs frais un terminal dont ils rembourseront une partie chaque mois», ajoute Yves Le Floch, directeur du Développement de la cybersécurité du groupe Sogeti.
Mais le problème est que ces terminaux sont ainsi souvent utilisés «le week-end à la maison par les enfants pour surfer un peu partout», indique-t-il.
L'entreprise peut cependant difficilement refuser la connexion à son réseau de ces terminaux sur lesquels elle n'a pas la main, car «elle passe pour une ''has-been'' et en plus les salariés vont le faire quand même dans son dos», selon Yves Le Floch.
«Tout protéger n'est pas possible»
«Ce n'est pas réaliste de la part d'une entreprise de refuser de manière aveugle ce qui est une tendance sociologique lourde, mais il faut le faire en posant des limites», renchérit Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.
«Une fois qu'on a fait le tri entre les données à protéger plus particulièrement, l'idée est de graduer l'accès au système de l'entreprise et de définir des contextes de connexion, en fonction de la personne qui demande à se connecter, de sa fonction dans l'entreprise, depuis quel appareil elle le fait, via du wifi ou pas, etc.», détaille-t-il.
«Mais il est totalement illusoire de penser qu'on peut évacuer de manière définitive logiciels malveillants et virus. Il faut être capable de vivre avec, savoir que tout protéger n'est pas possible et se focaliser sur les données qui ont vraiment de la valeur», souligne M. Ourghanlian.
«C'est une lutte permanente. Et même quand on a des solutions de détection et de surveillance, il faut être en mesure d'analyser les informations qui remontent: un de nos clients, une grande banque, est avertie chaque seconde de 2500 ''événements'' qui surviennent dans ses circuits informatiques, c'est énorme à analyser», souligne Edouard Jeanson, responsable de l'offre sécurité de Sogeti.
Les entreprises bien souvent ne se rendent pas non plus compte qu'elles sont en train de subir une attaque.
«Nous menons des intrusions-tests semblables à celles des cybercriminels pour voir si le système de défense nos clients tient. Mais une seule fois en cinq ans - alors que nous lançons près de 200 de ces attaques chaque année - une entreprise s'est rendue compte qu'il se passait quelque chose sur son réseau», déplore M. Jeanson.
De la même manière, il indique que son équipe est rentrée «en moins de dix minutes dans les iPhones des membres du comité exécutif d'un groupe du CAC40 et a eu accès au système de l'entreprise, qui n'avait pas jugé bon de chiffrer ses données» et qui s'était contentée d'un réseau sécurisé VPN.