Le management du digital
Rechercher

Gartner - BYOD : les trois risques sécuritaires

Si le BYOD (Bring your own device) est plébiscité par les utilisateurs, il faut être conscient des risques. Trois sont particulièrement à surveiller. Dans un sondage réalisé en décembre 2012, Gartner note que 33 % des entreprises ont une politique BYOD relative à l'utilisation d'appareils mobiles personnels (PC, smartphones et tablettes) pour accéder aux applications de l'entreprise.

Et ce taux pourrait atteindre les 70 % d'ici la fin de 2013. « La transition de l’approvisionnement d’appareils mobiles par l’entreprise vers le BYOD impacte fortement la façon de penser et d'agir en terme de sécurité mobile », assure Dionisio Zumerle, analyste chez Gartner. « Les stratégies et les outils initialement mis en place pour gérer les appareils mobiles et leur sécurité doivent donc être transformés. » En effet, selon Gartner, les entreprises doivent être capables de gérer trois impacts majeurs qui peuvent surgir lors de la transition vers le BOYD :

Impact N°1 : Les utilisateurs sont en droit de tirer profit des capacités de leurs appareils personnels, mais cela met en péril les dispositifs de sécurité des mobiles de l'entreprise, et augmente le risque de fuite des données et l'exploitation de vulnérabilités.

En dehors des locaux de l'entreprise, les salariés peuvent définir eux-mêmes leur politique d’usage sur leurs appareils personnels, installer des applications et accéder aux sites Web de leur choix. Mais la situation se modifie lorsque les appareils sont fournis par l’entreprise ; dans ce cas, l’entreprise peut limiter les applications et l'accès Internet. Les salariés peuvent également décider du niveau de protection de leurs propres appareils.

Mais lorsque les données de l’entreprise sont accessibles depuis leurs appareils, le risque de perte des données augmente, pas seulement en raison de la prolifération des virus, mais aussi par manque de support de certaines applications ou encore par la perte de l’appareil. L’utilisation d’un logiciel de management de terminaux mobiles (MDM) est un moyen d'appliquer une politique de sécurité.

D’après Gartner, les utilisateurs doivent avoir accès à l’information de l'entreprise seulement après avoir accepté un agent MDM sur leurs appareils personnels, et peut-être un outil de filtrage URL, comme un service de passerelle Web sécurisée (SWG en anglais) en mode cloud, afin de protéger et de faire respecter la politique d'entreprise sur le trafic Internet. Les entreprises devraient même envisager l’utilisation d’une application liste blanche, liste noire et la « conteneurisation » des applications, ainsi que la mise en place de boutiques d'applications d'entreprise (AppStore), ou de catalogue d'applications pour les applications qui bénéficient d’un support.

Impact N°2 - La liberté de l'utilisateur quant au choix de son appareil et la multiplication des appareils sans réelle sécurité empêchent de protéger efficacement certains terminaux, et de veiller au suivi des vulnérabilités et des mises à jour.

Permettre aux utilisateurs, plutôt qu’à la DSI, de choisir les systèmes d'exploitation et les versions des appareils mobiles laisse la porte ouverte à des situations incongrues, avec, par exemple, des appareils non sécurisés à 100 %. Le standard de base de sécurité devrait exiger le contrôle renforcé des mots de passe, le verrouillage de l'application passé un certain délai, le verrouillage du mot de passe après plusieurs tentatives, le cryptage des données, le verrouillage et/ou l’effacement à distance.

En adéquation avec la politique de sécurité mobile, les politiques de contrôle d'accès réseau doivent pouvoir refuser l'accès aux ressources de l'entreprise comme la messagerie électronique et les applications à partir d'appareils qui ne supportent pas la sécurité de base. Des mesures préventives devraient aussi être prises pour interdire les appareils non conformes ou donner l’alerte via les logiciels de MDM. Mais, comme le souligne Gartner, trop de sécurité peut tuer les bénéfices du BYOD !

Impact N° 3 – Qu’en est-il de la vie privée du propriétaire utilisateur et des données contenues sur le mobile ?

La plupart des individus considèrent que les données présentes sur leurs appareils personnels leur appartiennent ; ils vont donc fortement s’opposer à ce que l’entreprise manipule leur appareil sans leur accord. Gartner porte une attention particulière sur la pratique dite de « l’effacement des données de l’appareil à distance », qui devient complexe sur le plan juridique et culturel, notamment lors de la transition de l’appareil fourni par l’entreprise au BYOD.

Par ailleurs, « l’effacement sélectif des données de l’appareil » s'avère être aussi difficile, d’autant plus qu’il faut veiller à ce que seules les données d’entreprise soient supprimées. Dans cette situation, Gartner recommande fortement de se faire accompagner par des juristes. D’autant plus que des problèmes peuvent aussi survenir si l'utilisateur refuse « l’effacement à distance ». Dans ce cas, le cabinet préconise d'obtenir le consentement explicite et écrit de l’utilisateur.

Référence : Three Crucial Security Hurdles to Overcome When Shifting From Enterprise-Owned Devices to BYOD, Gartner, 2012.

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Laurence Blanlœil

Laurence Blanlœil

Anciennement responsable communication dans le secteur des nouvelles technologies pendant 20 ans, Laurence Blanloeil intègre l’équipe de Best Practices comme journaliste en 2013.

Nos Ouvrages

  • Symposiums Gartner Rétrospective 2017-2021

    Les équipes de Best Practices assistent chaque année au Symposium organisé par le cabinet Gartner qui présente des études, ses analyses et ses opinions sur l’évolution des technologies, du digital et des systèmes d’information.

  • Benchmark Digital&Business - numéro 157

    Ce numéro de Benchmark Digital & Business regroupe l’essentiel des chiffres et des tendances présentés lors du Symposium Gartner 2021, qui s’est déroulé en novembre, à distance.

  • Benchmark Digital&Business - numéro 156

    Ce numéro de Benchmark Digital & Business regroupe l’essentiel des chiffres et des tendances présentés lors du Symposium Gartner 2021, qui s’est déroulé en novembre, à distance.

A ne pas manquer

  • Comment rater...
sa Data Integration

    Pour rater son intégration de données, rien de plus simple. C’est à la portée de toutes les entreprises ! Il suffit de suivre nos treize commandements et d’oublier la gouvernance, la qualité, la sécurité et les enjeux métiers.

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Comment rater...
sa stratégie Big Data

    Une stratégie Big Data ne s'improvise pas. Quoique... Ce nouveau titre de la collection "Comment rater..." propose les douze commandements pour tous ceux qui veulent vraiment rater leur stratégie Big Data.

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris