La liberté laissée aux salariés de travailler avec leurs propres terminaux est de plus en plus répandue. Lors de l’événement Hack In Paris, Winn Schwartau, expert reconnu en cybersécurité, a expliqué les risques de cette pratique.

Nobody controls his devices at 100%. » Cette phrase de Winn Schwartau, prononcée durant sa conférence sur les dangers du Byod (Bring Your Own Device), résume bien la situation. Cette pratique consistant à utiliser son propre smartphone, tablette ou ordinateur au travail en se connectant au réseau professionnel s’est largement répandue. Cela permet une meilleur ergonomie de travail, mais ce n’est pas sans risque pour l’utilisateur et (surtout) pour l’entreprise.

Le principal danger vient du fait que ces appareils n’ont pas été conçus pour un usage professionnel. Nativement, les données ne sont pas cryptées et le système d’exploitation, ainsi que le navigateur, ne sont pas sécurisés (sauf pour BlackBerry, qui dispose d’un système de chiffrement et d’un pare-feu).

Ce manque de sécurisation allié à l’usage personnel (paramétrage, téléchargement…) d’un appareil utilisé en entreprise amplifie les risques d’infection ou d’intrusion. De plus, une société autorisant ses employés à se connecter à son réseau via leurs appareils aura moins de contrôle sur les connexions entrantes, et facilitera la fuite de données ou l’intrusion. La fuite de données peut aussi arriver par voie juridique, si l’Etat, sous couvert d’enquête sur l’employé, décide d’accéder aux données de l’appareil confisqué, y compris professionnelles.

Un problème concernant les smartphones vient de l’utilisateur lui-même. Quand la personne sort avec son mobile personnel et professionnel, elle a, dans sa poche, un appareil relativement petit pouvant contenir des données sensibles pour l’entreprise. Selon Winn Schwartau, 25 % des propriétaires de mobiles pratiquant le Byod perdent au moins une fois leur smartphone. Du coup, ces données sensibles ont une chance sur quatre de se retrouver dans la nature.

Byod = Bring Your Own Disaster ?

Plusieurs solutions peuvent permettre d’atténuer ces risques. La première consiste à sensibiliser les employés à l’utilisation de mots de passe et d’antivirus. La seconde est de mettre en place une application de MDN (Mobile Device Management) permettant la gestion des appareils à distance (effacement de données, prise de contrôle, installation, restauration, mise à jour…). La troisième, et la plus radicale, est l’installation d’un système d’ Air Gap, qui isole physiquement un réseau sécurisé d’entreprise des réseaux non sécurisés, comme l’internet public. Quatrième solution, une alternative au BYOD, le Cope.

Selon Winn Schwartau, jamais les entreprises américaines n’ont accepté autant de risques que depuis l’introduction du BYOD. D’après lui, 14 % n’autorisent que deux appareils au sein de l’entreprise pour un usage personnel et professionnel. La moitié a mis en place un système de MDM, et toutes les autres n’ont pas la moindre idée des risques encourus. Byod = Bring Your Own Disaster ?