Quelques informations sur le BYOD (Bring Your Own Device)

La démocratisation des smartphones pour accéder à internet et aux informations réseaux est en train de perturber les règles de sécurités dans les entreprises. La question du BYOD (Bring your own device), l’utilisation des téléphones personnels des employés pour accéder à l’hébergement et aux informations sensibles de la société.

L’intégration des téléphones portables privés des employés est en effet plus une obligation. Mais évidemment cette intégration ne doit pas se faire sans prendre certaines précautions essentielles. De toute façon le mal est déjà fait, puisqu’une bonne partie des employés ont déjà pris l’habitude d’utiliser leur smartphone pour accéder aux données de leur entreprise. La dernière étude de l’Idate confirme même cette tendance en expliquant que près de 45 % des employés utilisent leur smartphone pour cet effet. Le principe est donc de réussir à intégrer les smartphones en gérant au mieux les problèmes de sécurité tout en évitant de mettre en place des solutions de sécurité trop coûteuses et surtout trop complexes à mettre en place.

Ainsi il faut commencer par considérer l’appareil mobile de l’employé comme un poste de travail à part entière, afin de sécuriser son utilisation à part la téléphonie et les photos. Bien que l’on considère que les appareils mobiles particuliers contiennent deux fois plus de virus que les appareils de la société, l’on remarque que ces appareils sont principalement employés pour accéder à des documents et consulter des services de messagerie.  Ensuite, il y a bien sûr l’utilisation des applications mobiles de l’entreprise, il est donc tout naturel de protéger les appareils mobiles des employés de la même façon que les portables de la société en y installant un antivirus performant, un antispam et un pare-feu. Pour commencer, il est donc indispensable que le service informatique de la société dispose d’outils d’administration complets qui lui permettent de contrôler l’intégralité de la flotte des appareils mobiles des employés.

Ensuite, il faudra s’intéresser à l’identification de l’employé quand il se connecte aux serveurs de la société. La solution la plus sécurisée comprend une identification à deux niveaux, la saisie d’un identifiant et d’un mot de passe, qui devra être confirmé par la saisi d’un code envoyé ponctuellement par SMS. Ce principe permet de limiter les connexions aux seuls employés autorisés et réduit de façon importante le risque des connexions externes.  Mais ce système devra aussi être complété par un système de filtrage web par proxy, afin de limiter les connexions à une liste de sites autorisés, afin de limiter les risques de contamination. Mais ces systèmes ne pourront garantir une sécurité optimale uniquement si les portails d’accès mobiles sont eux aussi régulièrement contrôlés et surveillés. Les accès mobiles exposent en effet l’entreprise aux attaques externes qui peuvent être lancées par n’importe quel hacker qui recherche un trophée supplémentaire. La société doit donc régulièrement faire appel aux services d’audit d’une société externe pour s’assurer de l’imperméabilité relative de ses points d’entrées mobiles.

Bien sûr toutes ses mesures de sécurité seront contraignantes pour les employés qui devront s’engager à ne pas changer la configuration des différentes protections installées sur leurs appareils mobiles personnels. Dans ce cas la société peut soit prendre en charge les coûts de l’abonnement mobile, soit carrément mettre à disposition de l’employé un appareil mobile pré-configuré par les services informatiques de l’entreprise.

Catégorie: Infos sur l'industrie
4 janvier 2013
O2switch Hébergement web