Protéger les données de l’entreprise à l’ère du BYOD

Qu’est-ce que le BYOD ? L’acronyme pour Bring Your Own Device. En français : Apportez Votre Equipement personnel de Communication (AVEC). En fait, vos salariés utilisent leur propre device (téléphone, tablette ou ordinateur) dans le cadre professionnel. Quel en est l’impact en matière de sécurité des données pour votre entreprise ? Retrouvez tous nos conseils dans notre rubrique dédiée à l'utilisation des antivirus.

L’employeur a l’obligation de fournir à ses employés les moyens nécessaires à l’exécution de leurs tâches professionnelles. Les outils personnels ne peuvent servir qu’à titre subsidiaire. Mais souvent, le salarié laisse au bureau son ordinateur pro et continue en mobilité avec ses outils persos. Ce n’est pas contraire au code du travail. Et c’est du BYOD.

Les entreprises équipent certains employés de téléphones pros. Ce sont généralement les commerciaux, dont les déplacements sont nombreux. Or aujourd’hui, on s’est progressivement habitués à tout avoir à portée de main : via son smartphone, sa tablette. Sans forcément occuper de poste nomade, on peut vouloir accéder librement à sa messagerie, à ses outils de travail, d’où qu’on soit. Pour répondre à cette attente, l’entreprise a tout intérêt à autoriser le BYOD. Cela permet une pratique du travail plus libre. Le fonctionnement de l’entreprise n’en est que plus attrayant pour ses salariés.

L’employeur est responsable de la sécurité des données personnelles de l’entreprise. Ce y compris quand elles sont accessibles sur des terminaux extérieurs, comme avec le BYOD. Il n’a pourtant pas la maîtrise physique ou juridique de ces appareils. Dans la mesure où son autorisation a été donnée, la CNIL (Commission Nationale de l’Informatique et des Libertés) estime que sa responsabilité est engagée.

Pour maîtriser les risques associés au BYOD, il faut d’abord les identifier. Ils englobent trois aspects :

• L’intégrité et la confidentialité des données. Mettons que votre boîte mail soit ouverte sur votre smartphone et en accès libre, sans besoin d’identification ou de code secret. N’importe qui peut, à votre insu, consulter vos e-mails et s’enquérir d’informations sensibles en rapport avec l’entreprise. Le risque de fuite ou d’espionnage industriel est lié.
• La disponibilité des données. Il faut penser aux conséquences d’un plus grand nombre d’appareils connectés au réseau. Une surcharge, non prévue en amont, peut rendre les données indisponibles ponctuellement. Les appareils personnels des employés utilisés en BYOD peuvent ainsi susciter un ralentissement des opérations de l’entreprise.
• La compromission générale du SI de l’entreprise. Via un terminal personnel, une intrusion extérieure peut venir véroler le système (virus, cheval de Troie…).

L’identification de ces risques est à mener au regard des spécificités du contexte de votre entreprise : quels sont les équipements concernés ? Les applications ? Les données ? Il s’agit ensuite de pondérer ces risques en les évaluant en termes de gravité et de vraisemblance.

Différentes mesures peuvent être mises en place afin d’étendre aux appareils BYOD la protection des informations liées à votre entreprise. Vous pouvez :

• Mettre en place un accès distant sécurisé aux applications et données liées à l’entreprise : par un dispositif d’authentification robuste type certificat électronique ou carte à puce.
• Chiffrer les flux d’informations (VPN, HTTPS ou autre).
• Créer une bulle de sécurité en cloisonnant les parties de l’outil personnel qui servent dans le cadre professionnel.
• Protéger les terminaux BYOD contre les malwares en les équipant d'une solution de sécurité ou de programmes de protection dédiés.
• Prévoir une procédure en cas de perte ou de panne du terminal personnel. Il faut dans ce cas que l’administrateur réseau en soit immédiatement informé, afin d’effacer à distance les données professionnelles stockées sur le terminal.

Des solutions logicielles d'antivirus permettent de coordonner ces actions de cybersécurité. Bitdefender par exemple met à la disposition de votre administrateur système une console Cloud unifiée. Elle permet de déployer et gérer à distance toute votre infrastructure digitale : postes de travail et serveurs (physiques et virtuels), messageries Exchange et appareils mobiles.

L’administrateur définit très facilement dans l’outil les politiques de sécurité de l’entreprise et y conçoit ses rapports. Toutes les données associées aux analyses antivirales et anti-phishing – url malveillantes, programmes suspects, etc – sont listées et cataloguées sur le Cloud. Cela allège réellement votre serveur local. La protection des devices reste, elle, physiquement présente sur les appareils.
 
 
Pour les grandes entreprises comme pour les TPE et PME, la protection des données est une problématique cruciale. La pratique croissante du BYOD amène à rechercher des solutions de détection et de protection informatiques puissantes. Pour que le travail continue à être une pratique attrayante, sans menacer le SI de l’entreprise pour autant.