BYOD et les enjeux de la cybersécurité

De plus en plus de salariés utilisent leurs outils informatiques personnels dans un contexte professionnel. Il peut par exemple s'agir d’un salarié qui, pour accéder aux resources internes pour remplir sa mission dans l'entreprise, utilise son ordinateur, sa tablette, ou encore son smartphone personnel. Ce phénomène est appelé BYOD, pour Bring Your Own Device (en français, “Apportez votre appareil personnel”).

Quel risque ?

Il faut garder à l’esprit que le système d’information est un tout, un seul maillon faible peut venir affaiblir tout l’ensemble. Le réseau informatique permettant de partager des informations, mais aussi de propager les infections de codes malveillants. Le manque de contrôle sur l’utilisation des appareils par les collaborateurs devient vite problématique.

Dans la plupart des cas, les terminaux personnels n’ont pas le même niveau de sécurité que les terminaux de l’entreprise. En effet, sur un terminal personnel, un utilisateur installe les logiciels de son choix, avec la configuration de son choix. L’antivirus n’est pas forcément à jour, quand il n’est pas inexistant.

Ainsi, même si le BYOD peut s’avérer pratique, il peut comporter tout de même des risques non négligeables pour l’entreprise et être une source de fuite de données sensibles pour l’entreprise (de façon volontaire ou involontaire).

Comment sécuriser / se protéger ?

Il est important de rappeler que l’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise. Si aucune règle n’est établie et/ou respectée, c’est une atteinte à la disponibilité, à la confidentialité et/ou à l’intégrité que l’entreprise risque.

Il convient donc d’identifier les risques que peuvent impliquer l’autorisation du BYOD afin de pouvoir mettre en place des mesures pour les réduire. Avec par exemple la rédaction d’une charte à respecter, qui aura comme but de :

• Informer et sensibiliser les utilisateurs ;

• Formaliser les responsabilités de chacun et créer une culture de la cybersécurité au sein d’entreprise ;

• Préciser et expliquer les précautions à prendre. Par exemple:

  1. Exiger le respect de mesures de sécurité élémentaires telles que le verrouillage du terminal avec un mot de passe conforme aux bonnes pratiques et l’utilisation d’un antivirus à jour

  2. Subordonner l’utilisation des équipements personnels à une autorisation préalable de l’administrateur réseau et/ou de l’employeur.

  3. Prévoir une procédure en cas de panne/perte du terminal personnel.

Les autres possibilités

Moins connus que le BYOD, deux autres tendances existent pourtant, le COPE et le CYOD.

Le COPE (Corporate Owned, Personally Enabled), permet aux entreprises de choisir et financer le matériel que les collaborateurs vont utiliser. Ce dernier pourra l’utiliser à titre professionnel mais aussi personnel. Dans ce cas précis, c’est le service informatique de l’entreprise qui gèrent les équipements et créé deux espaces dédiés différents et cloisonnés, évitant ainsi les risques rencontrés du BYOD cités plus haut.

Le CYOD (Choose Your Own Device), quant à lui, permet aux collaborateurs de choisir ses équipements mobiles parmi une liste pré-définie par le DSI. À l’aide d’outils comme le MDM (Mobile Device Management), l’équipe informatique pourra gérer les mises à jour, les installations logicielles et pourra en cas de vol ou de perte, effacer les données à distances. À noté qu’une utilisation personnelle des équipements n’est pas automatiquement accordée par l’entreprise.

Que ce soit le BYOD, le COPE ou le CYOD, il est important de rappeler que le droit du travail impose à l’employeur de fournir à ses employés les moyens nécessaires à l'exécution de leurs tâches professionnelles. L’utilisation d’outils informatiques personnels à des fins professionnelles ne permet pas de s’affranchir de cette obligation.

Sujets connexes :

MDM = Mobile Device Management

MIM = Mobile Information Management (aussi appelé MCM = Mobile Content Management)

MAM = Mobile Application Management

Ces sujets seront abordés dans un prochain article de blog.

Articles complémentaires :

• La cybersécurité des start-ups et TPE

• Cybersécurité et TPE : 5 petits changements qui feront toute la différence

• Accompagnement long terme VS. prestation court terme

• Les collaborateurs dans la chaine de sécurité des entreprises.

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Nous avons besoin de vos réponses !

En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.

Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !

Merci pour vos réponses !

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !