BYOD : les conseils d'un spécialiste de terrain

Selon vous, quels problèmes le BYOD pose-t-il aux entreprises, au-delà de la gestion des équipements ?

Avant tout, l'entreprise doit déterminer quels types de services ou d'applications elle souhaite mettre à disposition des utilisateurs en mobilité, dans le cadre du BYOD.
S'agit-il uniquement d'offrir à l'employé un accès à sa messagerie et ses agendas ? Est-il question d'interagir avec des applications critiques ? Des solutions de collaboration internes ?...
Cela revient à confronter la stratégie BYOD à la politique de sécurité de l'entreprise. Une démarche qui offre un premier cadre avant d'ouvrir ou d'entrouvrir les portes de système d'information au BYOD.
Certes, le BYOD incarne une révolution des approches et des usages. Néanmoins, il doit s'inscrire dans la politique de collaboration et de suivi du système d'information. Il s'agit de rester conforme à la stratégie de l'entreprise sur laquelle doit s'aligner le système d'information, tout en répondant aux attentes des directions métiers. Ou alors, si la DSI décide d'adapter son informatique, elle le fait en connaissance de cause.
Bref, la définition du périmètre applicatif concerné orientera fortement la politique BYOD, et les mesures de sécurité et d'infrastructure nécessaires.

Et qu'en est-il des terminaux ?

Dans le cas d'un accès de mobiles (smartphone, tablettes ou autres) limité à la messagerie d'entreprise, un simple certificat pour établir un réseau privé virtuel (VPN) peut suffire. Et dans ce cas, le mobile intervient comme un poste distant sécurisé.
Pour une gestion plus évoluée, une solution de Mobile Device Management ou MDM (gestion des équipements mobiles) devient incontournable. En effet, il s'agit alors de fournir et de maîtriser les smartphones et tablettes du parc informatique de l'entreprise.
Si l'organisation déploie des applications spécifiques sur des terminaux dédiés, elle devra effectuer des tests de conformité et proposer une liste limitée des périphériques autorisés.
Si l'entreprise envisage d'accepter tout type de périphérique comme client de son système d'information, elle devra réfléchir à une politique d'authentification très évoluée, avec vérification des données accédées et envoyées.
Les solutions de MDM regroupent aujourd'hui la supervision des terminaux et des utilisateurs, mais aussi l'accès aux applications. En outre, la solution choisie devra proposer des politiques de sécurité pouvant aller jusqu'à la destruction des données sur le terminal.

Le cas où les employés utilisent leur propre équipement devient de plus en plus courant...

Avant de pousser la gestion des périphériques jusqu'aux équipements personnels, plusieurs points juridiques sont à considérer, au regard de la vie privée et du droit du travail (attention aux réglementations des utilisateurs de plusieurs pays).
En France, l'adhésion au projet BYOD du collaborateur doit être volontaire et relever d'une démarche individuelle. L'entreprise doit assurer la sécurité et la protection renforcées de la vie privée sur le terminal personnel de l'employé. De son côté, l'employé s'engage à séparer ses données professionnelles de ses données privées et à respecter la confidentialité des informations de l'entreprise. Et puisque l'entreprise ne fournit pas l'équipement, elle devra étudier le paiement à l'employé de l'usage de son propre équipement à des fins professionnelles.

Parfois, l'entreprise souhaite ouvrir l'accès mobile au-delà de ses employés.

Chez l'un de nos clients, le projet BYOD visait justement à proposer l'accès à des visiteurs ou prestataires. Certes, une charte ou des engagements validés par l'utilisateur sont indispensables, mais insuffisants. Il convient de fournir un accès sécurisé et limité, mais surtout plus contraignant.
En cours de déploiement, les équipes ont constaté que cela était beaucoup plus compliqué que prévu. En effet, dans le cadre du BYOD, l'entreprise peut maîtriser les prérequis techniques et exiger certaines spécifications ou autoriser certains matériels.
Pour ouvrir l'accès à tout visiteur ou intervenant, on ne peut définir les terminaux à priori. Pire encore, certains environnements sont parfois rejetés par les solutions réseau, comme les terminaux sous Windows ou Mac sans antivirus installé, par exemple. Parfois même, seuls les environnements Microsoft sont acceptés ! Attention donc aux limitations des logiciels de gestion du réseau. .

Comment intensifier la sécurité d'utilisateurs désormais mobiles, mais existant déjà dans le système d'information ?

S'il s'agit d'un service simple de messagerie ou d'agenda (comme ceux de Google ou Microsoft), l'administrateur peut toujours prendre la main et savoir ce qui se passe. Il peut même modifier les listes blanches de sites web (autorisés) sur le terminal.
Par ailleurs, le VPN ou réseau privé virtuel permet d'établir une connexion sécurisée avec le système d'information, sans avoir à envoyer d'informations sur le terminal.
Pour une meilleure maîtrise, une modification significative de la politique de sécurité s'impose. Alors, un contrôle de sécurité contextuel devient incontournable. Ce type de contrôle combine plusieurs paramètres : authentification de l'utilisateur et du périphérique, lieu géographique (entreprise, gare, hôtel, pays...), type de réseau (interne, mobile, ADSL, 3G, WiFi, etc.).
La politique de sécurité peut alors définir des profils types pour chaque utilisateur et attribuer des droits d'accès aux ressources et données selon le profil. Bien entendu, l'utilisateur pourra éventuellement se voir attribuer un profil différent selon le contexte.
Et lorsqu'une connexion ou un comportement inhabituels sont détectés, l'utilisateur peut être bloqué et l'administrateur immédiatement alerté.
Ce type de projet commence à se déployer, mais nécessite généralement une révision des politiques de sécurité en place.