Zscaler, « Les menaces du Bring Your Own Device » (Avis d’expert)

Michael Sutton, CISO de Zscaler, aborde la définition des paramètres de sécurité et l’arbitrage des entreprises qui en découle lorsque les appareils ne leur appartiennent pas.

Michael Sutton, CISO de Zscaler
Michael Sutton, CISO de Zscaler

Michael Sutton partage son avis sur les dangers du Bring Your Own Device en entreprise et commence par rappeler que l’écosystème mobile est différent de celui des ordinateurs et cette différence est d’autant plus vraie lorsqu’il s’agit de sécurité. Au bureau, les ordinateurs fixes et portables appartiennent, le plus souvent, à l’entreprise. Il est donc normal que ces appareils aient des restrictions d’accès et soient équipés de logiciels de sécurité contrôlant les accès et les données qui s’y trouvent. Ce n’est pas le cas dans le contexte du BYOD. Les collaborateurs ne sont pas prêts à accepter de céder leurs droits d’utilisation à leur employeur pour un appareil dans lequel ils ont personnellement investi. Bien qu’étant une opportunité pour réduire les coûts d’achat et d’entretien d’appareils, le BYOD fait perdre aux entreprises le contrôle sur les appareils et les met en danger.

L’un des plus grands défis de sécurité est de gérer les utilisateurs mobiles évoluant hors du périmètre de sécurité traditionnel des organisations. En se connectant à Internet sur des appareils non sécurisés, ils encourent le risque que ceux-ci se fassent infecter et importent des programmes malveillants dans le réseau d’entreprise. De plus, l’employé peut être victime d’ingénierie sociale lorsqu’il n’est pas protégé par les appliances de sécurité réseau d’autant plus que sur un appareil connecté, il y a de plus de grandes chances qu’il n’y ait pas de sécurité au niveau de l’hôte. Les hackers sont conscients de ce décalage et en profitent, c’est pourquoi leurs efforts se concentrent sur les utilisateurs finaux, plus particulièrement ceux travaillant à distance.

Les entreprises ne peuvent plus se contenter des contrôles de sécurité traditionnels pour protéger les appareils mobiles. Les solutions de sécurité cloud permettent au trafic des appareils mobiles d’être surveillé même en dehors de l’entreprise ainsi que sur les réseaux tiers sans qu’il y ait besoin d’installer des applications de sécurité lourdes ou de mettre des restrictions difficilement acceptables pour le propriétaire de l’appareil.

Tous les systèmes mobiles ont leurs avantages et inconvénients en terme de sécurité. Il est vrai, cependant, que la grande majorité des programmes malveillants visent les appareils Android et proviennent d’app stores autres que Google Play. La première étape, pour les entreprises souhaitant réduire les menaces provenant d’appareils mobiles, serait d’identifier les appareils « jailbreakés » et leur interdire l’installation d’applications ne venant pas des app stores officiels. Alors que les entreprises transfèrent leurs données institutionnelles sur le cloud et que les employés se connectent avec des appareils mobiles, un nouveau paradigme sécuritaire est nécessaire. Les services informatiques doivent passer d’une approche “blocage / permission” à une approche “gérer et surveiller”.

Une nouvelle approche consiste à prendre la sécurité des appliances qui ne couvrent plus les utilisateurs mobiles et qui créent des goulots d’étranglement croissant pour le trafic Internet.

Il s’agirait donc d’un réseau mondial qui entourerait Internet, inspectant tous les mouvements quel que soit le lieu ou l’appareil pour donner une réponse. Le modèle de sécurité cloud agit comme un poste de contrôle entre l’utilisateur et Internet et tout le trafic passe à travers lui permettant aux entreprises de profiter de la mobilité et du cloud tout en ayant des politiques de sécurité qui suivent l’utilisateur.

L’essor du BYOD pousse à repenser la sécurité des terminaux mobiles car l’entreprise ne peut dicter la politique de sécurité des appareils ne lui appartenant pas mais ne peut, non plus, autoriser un appareil potentiellement corrompu accéder à ses ressources internes. Un juste milieu doit être trouvé si l’on veut que le BYOD fonctionne en entreprise. Heureusement, la plupart des employés acceptent des mesures de sécurité de base qui assurent la protection des données de l’entreprise tant que leurs contenus et usages personnels restent intouchés.

TAGS ASSOCIÉS