BYOD : 3 brèches sécuritaires sur 4 dues à la configuration !

Le lancement de l’iPhone 6 nous rappelle que l’on vendra plus de 2,2 milliards de smartphones et de tablettes cette année. Leur prise en compte dans la politique de sécurité de l’entreprise devient cruciale. Et, selon le Gartner, 3 brèches sécuritaires sur 4 sont le fruit d’une mauvaise configuration ou d’une mauvaise utilisation. En voici un exemple classique, donné par Dionisio Zumerie, analyste de recherche en chef du cabinet d’étude américain : «Les utilisateurs de mobiles ont régulièrement recours à des services Cloud personnels. Or l’application téléchargée sur leur mobile ouvre potentiellement l’accès aux données professionnelles, d’autant que les entreprises ont rarement une vue globale de toute leur flotte. » Le Gartner estime ainsi que 80 % des équipements seulement sont identifiés. Les 20 % restant échappent à tout contrôle. Lorsque leur utilisateur accède à ses applications personnelles sur le WEB,  il ouvre sans le savoir la porte à des ressources professionnelles comme le courrier électronique.

 

Protection niveau terminal

Dans un contexte BYOD ou CYOD, l’Entreprise doit exiger et imposer la sécurisation des terminaux qu’elle autoriserait à se connecter sur son réseau. Que ce soit par la détection des jaiblreak et rooting, la mise à jour régulière des correctifs de sécurité des systèmes d’exploitation, le chiffrement de l’appareil, la sécurisation de l’accès au terminal par un pin code, le contrôle de l’accès aux périphériques critiques (GPS, app photo, bluetooth, NFC,…), la sécurisation des applications déployées par l’Entreprise, on l’aura compris, la tablette, phablette ou smartphone doit représenter un niveau de confiance suffisant pour garantir qu’il ne puisse pas servir de vecteur d’intrusion.

 

Authentification multi-facteur

La gestion coordonnée de l’authentification de l’utilisateur et du terminal à tous les niveaux des points d’entrée du système d’information est la règle de base de toute politique de sécurité.  L’authentification de l’appareil mobile peut bien évidemment s’appuyer sur un certificat (X509, ou certficat public), mais il est nécessaire de pouvoir associer tout terminal à une identité de l’utilisateur, tout en prenant en compte qu’une identité utilisateur pourra être associée à plusieurs terminaux, chacun avec un niveau de confiance différent. La mise en place d’une stratégie cohérente basée sur ces différentes recommandations (qui font d’ailleurs parti des recommandation préconisées par Gartner), ne peut se faire sans s’appuyer sur une solution d’Enterprise Mobility Management (EMM) permettant la gestion de terminaux iOS, Android, mais aussi et de plus en plus sous Windows Phone.

 

Liens

https://www.cases.lu/fr/apres-le-vol-massif-de-mots-de-passe-quelques-conseils-preventifs.html
https://www.cases.lu/fr/smartphones-top-10-des-risques.html
https://www.cases.lu/fr/securite-mobile-10-astuces-indispensables.html

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *