Discussion :

[Victor Vincent]

Le BYOD constitue-t-il une menace pour les réseaux d’entreprise ?
Oui selon Pierre Poggi, Country Manager France pour WatchGuard.

Le BYOD (Bring Your Own Device), « apportez vos appareils personnels » en français, est une pratique qui consiste à utiliser ses équipements personnels dans un contexte professionnel dans le but de faciliter l’accès aux informations et applications de l’entreprise. Cependant, cette pratique constituerait une menace pour les réseaux d’entreprise. C’est en tout cas le point de vue de Pierre Poggi. Selon lui, fini le temps où des smartphones indélicats dominaient les conversations. Place désormais aux objets connectés et aux accès non contrôlés qu’ils peuvent générer. Car conçues plus pour le confort et la convivialité que pour la sécurité, les technologies intégrées dans les objets connectés constituent potentiellement une vraie menace pour les réseaux d’entreprise.


Les montres et autres accessoires connectés (lunettes intelligentes, bracelets connectés, etc.) se connectent aux réseaux d’entreprise à un rythme record. En fait, note Pierre, l’IDC prévoit que d’ici 2019, plus de 89 millions d’objets connectés auront été livrés dans le monde. Ce qui représente plus du double de l’estimation de 2015 qui n’est que de 33 millions. Et sur le seul marché américain, les ventes devraient atteindre 19 milliards de $, soit plus de dix fois plus que la valeur de ce marché il y a cinq ans. Ces objets offrant un grand nombre d’applications destinées à des utilisateurs professionnels en entreprise, Pierre met en garde que ce qui avait commencé comme un phénomène amusant et ludique s’immisce aujourd’hui dans les réseaux d’entreprise avec des fonctions telles que l’e-mail ou la messagerie instantanée. Malheureusement, ces fonctions très simples à utiliser, même si elles peuvent avoir un impact positif sur la productivité, fournissent aussi souvent accès à des données sensibles, se désole le Country Manager France de WatchGuard.


Les objets connectés se sont équipés de Bluetooth, du Wifi et même dans certains cas d’une connexion directe aux réseaux mobiles. Les applications du smartphone avec lequel ces objets sont synchronisés sont automatiquement téléchargées. Ceci veut dire que lorsqu’ils sont utilisés au sein d’une entreprise et associés à des applications professionnelles, une simple vulnérabilité les concernant peut se transformer en quelque chose de bien plus préoccupant, note Pierre. Malheureusement, il est difficile d’empêcher les employés d’emporter des objets connectés sur leur lieu de travail, comme de désactiver le Bluetooth et le Wifi sur leurs smartphones. La véritable valeur ajoutée des objets connectés dans les environnements de travail est aujourd’hui en débat dans beaucoup d’entreprises. Ces objets accélèrent-ils la formation, le partage d’informations et la productivité ? S’interroge Pierre. Une erreur que commettent la plupart des utilisateurs de ces équipements c’est de les autoriser à :

• accéder d’un seul coup d’œil à tout moment et en tous lieux à une variété d’informations (e-mail, calendrier, données commerciales, CRM) ;
• accéder à des fonctions de travail collaboratif entre employés (messagerie instantanée, partage de connaissances) ;
• accéder à des fonctions d’authentification pour des accès physiques et logiques.

Parmi les risques que courent les entreprises en utilisant ces équipements, d’après Pierre, il faut retenir :

• la perte d’un objet connecté ayant enregistré en mémoire des données sensibles ;
• des malwares résidant sur les objets connectés, qui peuvent facilement siphonner des données et d’autres informations vers d’autres équipements ;
• des attaques de « phishing » peuvent récupérer le code PIN d’un objet connecté, qui peut ensuite être utilisé pour accéder à des données sur d’autres équipements personnels ou d’entreprise.

Les services informatiques des entreprises disposent déjà des outils nécessaires pour empêcher des smartphones débloqués d’accéder à leurs réseaux, via des solutions EMM (Enterprise Mobility Management), mais ces solutions ne les protègent pas contre les nouveaux objets connectés intelligents, prévient Pierre. Il n’est même pas nécessaire qu’un objet connecté soit débloqué pour pouvoir avoir accès à des informations sensibles. Une simple connexion à l’objet, ajoutée à quelques techniques de base suffisent. Pierre Poggi poursuit en déclarant qu’en plaçant son téléphone éteint et dans l’immeuble d’en face, avec un simple code PIN à 4 chiffres, il est possible d’accéder à des e-mails contenant des données financières enregistrées en cache sur sa montre connectée. Ceci révèle la plus basique des vulnérabilités associées à ce type d’objet, conclut-il.

Dès lors, pour réduire les risques associés aux objets connectés pour son entreprise, Pierre préconise ces mesures qui vont suivre :

• rédiger une politique de sécurité fixant les règles d’utilisation des objets connectés au sein de votre entreprise et la faire connaître en interne, afin que tous la comprennent et l’appliquent ;
• imposer des mots de passe non triviaux (1234 ou 1111 par exemple) sur les objets connectés accédant aux données d’entreprise ;
• s’assurer que les pertes ou vols d’objets connectés sont notifiés immédiatement ;
• éduquer les utilisateurs à reconnaître et à signaler les attaques par harponnage ciblant les objets connectés.

Cependant, ces équipements n’ont pas que des défauts, reconnait Pierre Poggi. Ils peuvent être de très bons outils de productivité offrant aux utilisateurs de nouvelles fonctionnalités prometteuses qui à terme amélioreront la sécurité dans les entreprises. L’utilisation de données biométriques pour authentifier les accès à des équipements, des ordinateurs ou des réseaux, ou de nouvelles méthodes d’accès physique pour ouvrir des portes ou remplacer des badges sur les lieux de travail en est un exemple.

Les objets connectés feront à l’avenir partie intégrante de nos vies. Au fur et à mesure de l’évolution des technologies et de leur implantation dans les entreprises, ils révolutionneront le partage des informations dans beaucoup de secteurs. Mais ce qui semble être une simple montre ou paire de lunettes inoffensive pourrait se transformer en cauchemar sécuritaire demain. Des objets à partir desquels il est facile d’accéder à des informations de valeur attireront nécessairement les « hackeurs » et les cybercriminels, prévient Pierre. Même s’il est excitant d’exploiter les avantages des objets connectés, il est tout aussi important, sinon plus, de prendre en compte les nouvelles menaces pour la sécurité que posent ces équipements au fur et à mesure de leur adoption, et de déterminer comment les combattre.

Source : Pierre Poggi

Et vous ?

Que pensez-vous du BYOD ? Est-ce une mauvaise chose pour les réseaux d'entreprise ?

Voir aussi

la rubrique Actualités

[curt]

Les objets connectés sont non seulement le moyen de rester en relation avec son entreprise, mais ET SURTOUT la clé d'entrée au système d'information de l'entreprise. A défaut d'être sécurisé, et/ou en cas de vol, ils deviennent le point faible d'accès. Se faire voler ou perdre son smartphone, et c'est une partie de votre vie qu'on vole... données, photos, contacts, liens GPS, adresse perso, entreprise, amis sur réseaux sociaux, etc...
Les BYOD ne répondant à aucune "norme" de sécurisation propre à l'entreprise, il devient dangereux et cauchemardesque pour les admins système de les voir se connecter au réseau. L'installation d'applis non sécurisée en ajoute au problème.

Curt

[BufferBob]

Que pensez vous du BYOD ? Est-ce une mauvaise chose pour les réseaux d'entreprise ?

non non, c'est vachement bien, tout le monde devrait pouvoir se ramener au boulot avec sa clé usb ou son laptop trimballés au cybercafé, chez son pote Gégé qu'a pleins de virus, à l'école où y'a un antivirus mis à jour pour la dernière fois en 1995 etc.

sinon la guerre c'est mal et l'eau ça mouille aussi...

[martopioche]

Que pensez vous du BYOD ? Est-ce une mauvaise chose pour les réseaux d'entreprise ?

En fait, ce n'est pas tout à fait le "BYOD" le problème dans cet article . Par contre, si on remonte au titre de l'article ("Le BYOD constitue-t-il une menace pour les réseaux d'entreprise ?"). Historiquement, le BYOD doit son succès au fait que le salarié est plus performant avec sa machine que celle de son entreprise. La vrai question est donc "Est-ce qu'une DSI qui n'a aucune connaissance des besoins de l'entreprise et de ses salariés est une mauvaise chose pour les réseaux d'entreprise ?".

[DonQuiche]

Est-ce qu'on ne pourrait pas avoir des smartphones gérant de façon transparente plusieurs identités simultanées avec des privilèges distincts ? Mr Dupont particulier, Mr Dupont employé de X.

Par exemple la boîte mail de l'entreprise tournerait dans un processus attaché à l'identité de l'employé, et se boîte perso dans un autre processus, éventuellement tous deux affichés par un processus UI commun (comme les navigateurs modernes).

L'utilisateur serait libre d'installer ce qu'il veut et fournir n'importe quelle permission en tant que particulier mais pas en tant qu'employé. Et l'entreprise pourrait contrôler ce qui relève de l'employé sans violer la vie privée du particulier.

[martopioche]

Est-ce qu'on ne pourrait pas avoir des smartphones gérant de façon transparente plusieurs identités simultanées avec des privilèges distincts ? Mr Dupont particulier, Mr Dupont employé de X.

Par exemple la boîte mail de l'entreprise tournerait dans un processus attaché à l'identité de l'employé, et se boîte perso dans un autre processus, éventuellement tous deux affichés par un processus UI commun (comme les navigateurs modernes).

L'utilisateur serait libre d'installer ce qu'il veut et fournir n'importe quelle permission en tant que particulier mais pas en tant qu'employé. Et l'entreprise pourrait contrôler ce qui relève de l'employé sans violer la vie privée du particulier.

On pourrait, le problème reste qu'un Smartphone n'est pas une station de travail et que l'utilisateur souhaite un appareil avec une autonomie de plus d'une heure; de moins de 2 kg qui ne fasse pas 50° quand il le colle à son oreille...