L'objectif sera de comprendre les enjeux de production et de sécurité, de séparer les applications personnelles et professionnelles de vos collaborateurs, de savoir quel est leur mode de fonctionnement le plus courant, en particulier ce que l'on appelle le MDM ; puis l'utilisation malveillante de la non-séparation de ces applications. Enfin, comment mettre en place une bonne cohabitation de ces environnements.
Lorsque vous rapportez du travail chez vous le soir, pour avancer si vous n’aviez pas eu le temps dans la journée, vous allez être certainement concerné par cette bonne pratique de sécurité Aujourd'hui, avec les PC et les mobiles, on n’est plus évalué sur "le travail que l'on fait à son bureau" mais "au travail que l'on ne fait pas" ; peu importe le lieu de travail, car on peut être tout le temps ou jamais à son bureau, on peut travailler n’importe où et à n’importe quel moment de la journée, votre entreprise ne pourra pas vraiment évaluer ce que vous faites, sauf si elle est organisée pour cela.
Qu’est-ce que séparer les usages personnels des usages professionnels ?
Les Américains ont appelé ça le BYOD (Bring your own device), et ça marche aussi avec BYOL (Laptop), BYOC (computer), etc., donc tous les dérivés de ces mobiles ; en réalité, cela consiste à gérer la mobilité. Pour information, en France on dit « Apportez votre appareil numérique » (AVAN).
COPE (Corporated Owned, Personnaly Enabled) : utilise chez toi ton matériel professionnel, propriété de ton entreprise et choisi par elle.
CYOD (Choose Your Own Device) : utilise chez toi ton matériel professionnel, tu choisis dans un catalogue d’équipements nomades ayant reçu l’agrément de l’entreprise.
BYOA (Bring Your Own Applications) : utilise tes applications à ton bureau en mode SaaS ou non, pour le stockage de tes données (ex: Dropbox, iCloud, SkyDrive) ou votre production logicielle (présentation LibreOffice).
Situations d'usages courants du BYOD
Le BYOD permet de réduire les coûts d'acquisition et de maintenance des équipements des collaborateurs de l'entreprise : chacun achète et gère ses outils, ses applications. De plus, chacun choisit son outil de travail, à sa manière et devient responsable de l'usage qu'il en fait. C’est leur device !
De fait, on constate une amélioration de la productivité et de l'accès aux applications professionnelles : téléphonie, messagerie...
Le principe du BYOD
Vous disposez d’applications, comme indiqué sur le schéma (messagerie, Word, Excel et les applications de stockage). Donc, par exemple, la messagerie que vous voyez ici, elle a plusieurs boîtes de réception :
Cnam –Véronique ;
Free – Véronique,
MAISON – Véronique où, avec ma famille, on partage des photos et des informations.
On voit que mes informations personnelles et professionnelles se mélangent.
Autre exemple particulier, vous êtes dans Word. Vous avez aussi bien à manipuler des fichiers personnels (facture de téléphone, déclarations d’impôts), et au milieu de tout cela vous avez un dossier professionnel avec un contrat de vente avec un certain M. X ; et puis je vois aussi un autre contrat de vente avec un concurrent de M. X. Il se peut que j’affiche tout cela indépendamment de ma volonté devant ma famille, ou devant, éventuellement, les concurrents de M. X.
Et puis, il y a aussi le stockage où on voit par exemple un « Dossier PatientX » si vous êtes médecin, et un « Dossier Home » juste à côté. Alors, en quoi cela est-il gênant ? (Je reprends le schéma qu’on avait fait tout au début avec des architectures réseaux).
Les architectures techniques
Du côté de l’entreprise, c’est une toute autre question qui se pose : il est de première importance de gérer cette question de partage de ressources travail/privé. Le MDM (Mobile-Device-Management), ou EMM (Enterprise Mobility Management), sont des termes qui élargissent la portée du BYOD pour appliquer une solution d'administration et de sécurité au besoin de mobilité, quelle que soit l'origine de l'appareil. L'idée est de permettre aux collaborateurs de votre entreprise d'utiliser des smartphones et des tablettes au regard des règles de gouvernance, pour protéger vos actifs.
Entre BYOD et MDM, l'idée est de sécuriser vos données tout en laissant à vos employés la liberté de travailler hors vos murs. La différence entre BYOD et MDM repose sur l'origine de l'appareil mobile (COPE). On appelle ça le MDM (gestion des terminaux mobiles), le MAM (gestion des applications mobiles), le MIM (gestion des informations mobiles), et l’EMM (gestion de la mobilité d’entreprise). La figure ci-dessous montre les impacts entre le choix BYOD et MDM dans le management de la flotte de mobiles ; le BYOD échappe à la gestion de l'entreprise sur les données, les applications et le terminal. Il sera donc préférable de mettre en place une solution de type COPE pour une maîtrise forte des terminaux et de la mobilité.
Comme nous l'avons déjà expliqué, il s'agit de mettre en œuvre une solution pour favoriser l’usage de la mobilité en entreprise, tout en permettant de cloisonner les usages personnels et professionnels selon les 2 principes de sécurité que nous avons déjà abordés :
défense en profondeur ;
principe des moindres privilèges.
Les fonctions d'administration de la flotte de mobiles et des équipements assurées par le MDM seront :
le déploiement de nouveaux équipements à intégrer à l’entreprise, mises à jour… ;
la sécurité : géolocalisation, effacement et blocage à distance, chiffrement, VPN… ;
Lla gestion de parc : identification, activation/désactivation, suivi, reporting… ;
la configuration, comprenant aussi les accès réseaux.
Le MDM constitue également une plateforme technique ; deux grandes catégories d'architectures techniques émergent pour parvenir aux cloisonnement et moindres privilèges :
par conteneur : chaque environnement (travail/privé) est déployé dans un conteneur virtualisé, chiffré, isolé et embarqué sur le matériel. Aussi, chaque conteneur est entièrement isolé de l'autre et les flux sont chiffrés ; on trouve par exemple des solutions VMWare ;
par sandbox : l'environnement applicatif "professionnel" est isolé des données professionnelles et isolé des autres applications et données ; les flux et données des VM sensibles (professionnelles) sont chiffrés.
Il existe plusieurs solutions reconnues, comme « Mobile Iron » ou « AirWatch », et d'autres comme « FiberLink ».
La menace
L'espionnage est un point crucial, car il y a bien des fragments du système d'information qui se promènent de façon peu protégée dans les différents coins du monde.
Il y a également la capacité à propager un code malveillant ; le BYOD constitue un point d'entrée et un vecteur inespéré pour permettre à un attaquant de déployer et propager un virus, un code via le mobile BYOD une fois de retour dans l'entreprise.
Risque systémique
On voit avec le signe "=" les points de faiblesse des architectures BYOD ; à ces points, des attaques spécifiques vont être menées par des individus malveillants.
Les attaques
La propagation des codes malveillants s'étend aux équipements personnels si le code malveillant vient de l'équipement professionnel ; mais en plus, expose les équipements professionnels de toute l'entreprise si le code malveillant provient de l'équipement personnel. En somme, tout programme offre des points d’entrée aux programmes qui vont communiquer avec eux de façon automatique.
C'est donc une lourde responsabilité que détient le collaborateur. On voit qu'une architecture en BYOD, dès lors que l'on couple les drives personnels et professionnels,est très dangereuse.
Sur cette architecture, on a aussi des points d’entrée avec des flux communs, les flux de données personnelles (la communication avec la famille) et les flux de données professionnelles qui sont sur le réseau domicile. Si vous êtes par exemple dans un café ou dans une gare, eh bien tout cela sera visible pour tous les utilisateurs du réseau Wifi.
Enfin, vous êtes souvent connectés aux bornes WiFi (publiques ou privées) et là, les points d’entrée sont également les bornes où les attaquants peuvent prendre possession des flux, afin de vous rediriger vers des sites pirates ; ainsi vos données personnelles se trouvent exposées au grand danger.
Cette architecture vous expose souvent au risque que des personnes malveillantes volent des informations sensibles de votre entreprise après avoir réussi à prendre le contrôle de votre machine personnelle, des programmes personnels, ou par le biais de vos programmes personnels. Tout est à la fois cible et vecteur d’attaque.
Les bonnes pratiques
Face à cela, l’ANSSI a mis les entreprises en alerte sur ce genre d’usage, et a notamment publié plusieurs guides sur les bonnes pratiques, qui finalement sont peu mises en œuvre par les entreprises, parce que toutes ces informations sont en évolution permanente.
Les collaborateurs :
ne téléchargez pas des applications sur votre smartphone de façon quotidienne, parfois dans un but tout à fait louable pour l’entreprise, parfois dans un but personnel : cela rend difficile leur contrôle et leur administration ;
faites la séparation des usages personnels et professionnels ; il peut vous arriver de changer de portable et donc d' abandonner inconsciemment des fragments d’informations qui peuvent être exploités par un tiers ;
n’utilisez pas votre messagerie professionnelle à des fins personnelles, car dans les premiers exemples que je vous ai montré qu’il y avait 2 messageries. Ne faites pas de copié-collé ni de transfert de l’une vers l’autre, parce que vous pouvez avoir des liens malicieux qui sont dans les mails, et c’est vous qui feriez votre propre attaque ;
utilisez les moyens de stockage en ligne mis à disposition par l’entreprise, et pas les moyens de stockage personnels comme Cloud ;
évitez de connecter des supports amovibles (disque dur ou clé USB) sur vos ordinateurs personnels, parce que probablement vous n’avez mis en place aucune politique d’interdiction – ce sont des précautions particulièrement techniques qu’il faut connaître, et que vous n’aurez certainement pas prises.
L'entreprise
Tout ceci consiste à définir les bonnes pratiques pour éviter que certaines données ou informations puissent être la cible des attaques informatiques. Cela concerne à la fois vous et vos collaborateurs ; comme chacun sait, les collaborateurs, eux, ne cherchent qu’une chose à faire, c’est faire leur travail ; donc ils ne se limiteront pas avec des règles de sécurité qui vont les ennuyer.
Donc :
vous, entreprise, ayez une responsabilité du point de vue juridique ; les choses ne sont pas très claires pour les données de l’entreprise qui sont sous contrôle et manipulation des salariés, la charte d'usage signée par le salarié est une bonne recommandation ;
désabonnez vos utilisateurs, parce que les identifiants (IMEI, MAC adress) des smartphones de vos salariés seront peut-être réutilisés ; on peut avoir un accès aux données de l’entreprise. C’est pour cela que l’entreprise va être vigilante par rapport à la liste des appareils personnels autorisés à travailler avec l’entreprise ;
proposez un catalogue d'applications le plus complet possible, pour éviter des initiatives personnelles de vos collaborateurs ;
soyez également à leur écoute, ils ont des idées d'applications sympas, si vous les validez, mettez-les à leur disposition !
faites connaître à vos collaborateurs vos listes d’applications et de sites web approuvés, comme interdits.