Ep.003 – BYOD ?! Injure, mode, ou nouvelle tendance ?

CybersécuritéPodcasts
BYOD

Avez-vous déjà entendu parler du BYOD ? Non ce n’est pas une injure c’est à mon sens plutôt une tendance liée à l’hyper connectivité des utilisateurs. Toutes les entreprises fournissent-elles un iPhone à leurs employés ? Ouh la, nous n’y sommes pas encore. En revanche il s’agit bien d’une demande forte des utilisateurs de disposer de leur propre matériel tout en utilisant les ressources de l’entreprise. Sophos est intervenu au CoTer Club avant l’été et je vous assure que le monde des collectivités locales profite du même engouement !

Définition

BYOD est un acronyme l’anglais, comme d’habitude, “Bring Your Own Devide“. Littéralement “apportez votre propre matériel”, pour traduire le fait que les utilisateurs, les employés des entreprises utilisent leur propre matériel, smart phones, tablettes, PC portables, etc, à l’intérieur de l’entreprise, tout en jouissant des ressources, réseaux, wi-fi, imprimantes de l’entreprise. Parfois cela est possible, mais souvent les Responsables Informatiques ne sont pas capables “d’offrir” ce type de services aux employés.

Deux points de vue

La tendance BYOD présente des droits et des devoirs pour les deux parties, j’entends par là les employés d’une part et les Responsables IT d’autre part. Ce billet a clairement pour vocation de montrer aux deux parties qu’elles sont chacune partagée entre contrainte et nécessité.

Je suis Responsables IT

Je ne peux pas laisser les employés se connecter au réseau avec leur tablette !

En effet laisser des matériels non contrôlés se connecter au réseau peut comporter deux risques majeurs et il en existe d’autres :

  1. Si le matériel de l’employé comporte des malwares, c’est une source d’infection dont nous n’avons pas besoin.
  2. Si les utilisateurs copient des données de l’entreprise sur leur device personnel l’entreprise est particulièrement exposée à des fuites de données. Bien souvent les utilisateurs de ce type de service vont se servir des données pour travailler et n’auront pas d’intentions malveillantes, mais que ce passe-t-il en cas de perte ou vol du matériel ? Les  données de l’entreprise sont-elles en sécurité ?
  3. Risque juridique ! Si le service informatique wipe votre smartphone et efface vos données personnelles, que se passe-t-il ? Vous déposez plainte contre votre employeur ? La partie juridique implique souvent de passer du temps sur les projets BYOD, il faut également impliquer les ressources humaines et ces aspects administratifs sont souvent longs et fastidieux.
Retenez donc que les Responsables IT sont confrontés à des risques d’intrusion ou infection comme à des risques de fuite d’information. Malheureusement la nature a horreur du vide et si le service d’accès au réseau avec du matériel personnel n’est pas proposé par les DSI parce que le RSSI s’y oppose et bien vous aurez toujours des “geeks” capables de trouver des solutions de contournement, par exemple le cloud offre de sérieuses possibilités d’échanges inter-LAN.

Je suis utilisateur

“Mais Monsieur le Directeur Informatique, l’entreprise ne veut pas me payer un iPad et j’en ai besoin pour travailler en déplacement !”

Les demandes des employés sont toujours motivées par de la bonne volonté et ils ne savent pas toujours conscience des risques liés à leurs nouveaux besoins. Les raisons invoquées sont souvent les mêmes :

  1. Je veux travailler à la maison ou en déplacement.
  2. Je ne veux pas transporter ce gros PC portable en déplacement et une présentation à un client est plus “tendance” sur un iPad que sur un PC qui met 20 minutes à démarrer.
  3. C’est tout bénef’ pour la boîte, je vais travailler plus !

Les solutions techniques

Bien sûr il existe des solutions techniques. Le NAC par exemple, (Network Access Control). En pratiquant le contrôle d’accès au réseau au niveau réseau ou au niveau des postes de travail, vous pouvez refuser ou restreindre l’accès à certaines ressources. Vous pouvez aussi pratiquer le contrôle de conformité, si le poste extérieur dispose d’un niveau de sécurité acceptable, la Direction Informatique se réserve le droit de lui donner une adresse IP, ou pas, par exemple.

Il existe également des solutions pour permettre l’accès aux mails des employés sur leur propre tablette ou smartphone. Me concernant par exemple, je dispose de mes mails Sophos sur mon iPad personnel. Je vous assure que c’est un grand confort d’avoir ses mails personnels et professionnels, ses notes et ses tâches dans un même appareil. Si vous êtes pratiquant de la GTD vous savez de quoi je parle :-) A ce moment-là il s’agit d’une solution Mobile Control, j’ai écrit à ce sujet la semaine dernière (voir l’article).

BYOD

Les solutions éducatives

Les Responsables informatiques ont toujours intérêt à éduquer, sensibiliser les consommateurs d’IT. En ce qui concerne la sécurité en temps que telle, mais aussi dans les bonnes pratiques et les bons comportements à adopter face à telle ou telle situation.

Dans ma carrière j’ai été Responsable Informatique, Patron de Service Clients, Commercial et je sais à quel point cette tâche éducative peut s’avérer difficile. C’est un travail qui s’exerce sur le long terme, sans discontinuer, il faut changer de ton, ludique, théorique, pratique. La méthode autoritaire ne fonctionne pas, c’est comme avec les enfants, soyons dans la persuasion et non pas dans la coercition.

Je me permets de vous rappeler que lorsque votre entreprise achète des licences Sophos Endpoint pour protéger les postes de travail, vous avez le droit à autant de licences personnelles.

Charte IT

C’est le moment de vous rappeler, à vous Dirigeants d’entreprises, DSI, RSSI, DI, que la rédaction et la signature d’une charte IT sont incontournables. L’entreprise informe, contractuellement, les employés de leurs droits et devoirs avec le système d’information auquel on leur confie un accès.

Quand vous prenez l’avion pour les Etats-Unis, vous remplissez un questionnaire :

  • Avez-vous déjà été impliqué dans des activités terroristes ?
  • Avez-vous déjà trafiqué de la drogue ?
  • Avez-vous déjà commis un crime ?

Des questions aussi bêtes que ça vous me direz ! Mais finalement ça va mieux en le disant. Vous entrez sur le sol américain, vous passez un contrat avec les Etats-Unis d’Amérique ! C’est pareil avec le réseau de l’entreprise. Il y a plein de choses comme ça que l’on se passerait bien d’entendre, signer ou valider mais ça va toujours mieux en le disant !

En cas de problème, les Dirigeants de l’entreprise disposent d’un document signé de l’employé sur lequel il s’engage à respecter un certain nombre de règles.

Conclusions

  1. Accepter le BYOD nécessite un peu de travail en amont de la part des Dirigeants d’entreprise et DSI.
  2. Vous devez discuter en interne afin de définir des compromis, sécurité/flexibilité, espaces pro/perso, l’équilibre doit se trouver.
  3. 96% des télétravailleurs ne veulent plus reculer et il s’agit d’une grande valeur pour l’Entreprise, plus de production, à la demande des employés eux-mêmes en général.
  4. Des solutions existent et les budgets à prévoir ne sont pas nécessairement pharaoniques, renseignez-vous.

Vous avez la responsabilité de l’IT dans votre société. Si votre patron et les employés vous réclament l’accès à leurs mails sur leur iPad, dites-vous que vous avez les moyens de créer de la valeur pour votre Entreprise !

Pour le prochain podcast, je vous emmène dans le monde des réseaux sociaux et notamment, faut-il avoir peur de Facebook ?

La presse en parle

Les entreprises peuvent dire “oui” au BYOD avec Sophos Mobile Control 2.5

Sophos présente une solution Cloud avec une version hébergée de la solution de gestion des mobiles

5 Commentaires

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.