mercredi 8 février 2012

La tendance lourde (et irréversible) du BYOD

La problématique du BYOD (Bring Your Own Device) dans l'entreprise n'est pas nouvelle mais elle a réellement commencé à décoller l'année dernière, en parallèle de l'explosion des ventes de smartphones et autres tablettes. Les récents chiffres sur le phénomène, du moins en ce qui concerne la France, montrent que la tendance est devenue réalité dans l'entreprise.

Les 2/3 des salariés interrogés utilisent dorénavant leur smartphone (et/ou tablette) pour se connecter au S.I. de l'entreprise. Prioritairement, c'est la messagerie et la synchronisation de l'agenda qui sont les deux fonctions les plus utilisées. Ces usages sont appelés à se développer de plus en plus mais surtout à s'installer durablement. Le problème des divers responsables du S.I. (DSI, RSSI) et de leurs responsables est double : tous n'ont pas encore pris conscience de l'ampleur du phénomène et, lorsque c'est le cas, ils demeurent partagés sur la conduite à tenir

Malheureusement, le temps n'est plus aux réunions le plus souvent stériles ou aux études pour décider si l'on fait quelque chose ! Aux USA, la problématique du BYOD a été appréhendée très tôt et bien en amont, dans les entreprises comme dans l'administration : le ministère de l'Intérieur (qui n'a pas les mêmes missions que celui en France) vient de déployer un portail accessible par ses employés depuis tout équipement BYOD. 

Au-delà des économies que peut engendrer une telle convergence, la sécurité est évidemment traitée : l'identification individuelle est un pré-requis et certaines informations, plus sensibles, nécessitent que le navigateur supporte du chiffrement. De plus, les responsables du projet encouragent la discussion avec les utilisateurs afin d'améliorer le service, tout en étant en forte interaction avec la "communauté sécurité IT". Ce dernier point achève de convaincre que le ministère de l'Intérieur a sûrement été choisi comme pilote avant un déploiement bien plus important. Et qu'il ne faudra peut-être pas attendre un cadre réglementaire spécifique en France pour accompagner une tendance lourde et irréversible !

2 commentaires:

Dnucna a dit…

C'est vrai qu'on va inéluctablement vers le BYOD et qu'on est conscient qu'on va s'y casser les dents. Alors voici mon petit retour du terrain pour ne pas oublier les risques et aussi parce que c'est déjà là.

On commence progressivement à remonter des alertes antivirus sur la détection de kit d'attaque sur Smartphone par exemple Metasploit sur Nokia N900.

Cet aprem j'ai vu un collègue jouer avec ANTI (http://korben.info/anti-android-network-toolkit.html) et avant même de comprendre comment ça marchait le logiciel avait commencé un bruteforce sur le proxy...

Alors le but est de rajouter une surcouche d'isolation via un bureau virtuel mais comme le rappelle l'article suivant, l'authentification est à poil face à un keylogger : http://www.journaldunet.com/solutions/expert/50831/le-vdi-est-il-la-solution-aux-problemes-de-securite-des-donnees-du-byod.shtml

Et en marge du sujet, j'ai bien aimé la lecture de l'analyse des sauvegardes iPhone vu par un pentester (http://www.sans.org/reading_room/whitepapers/apple/iphone-backup-files-penetration-tester-039-s-treasure_33859). Mots de passe de messagerie en clair, mdp iCloud, coordonnées GPS dans les photos, sms, emails, voicemail, SSID de wifi, IP de VPN, etc...
La possibilité de restaurer la sauvegarde sur un autre iPhone et de partager le même photostream pour y injecter du pr0n. Sympa lors des soirées d'hiver en famille...

Sivispacem a dit…

@Dnucna
Merci pour ton commentaire qui illustre parfaitement un fait où il n'est même pas (encore) question de malveillances mais d'usages qui pourraient y conduire.

Si d'autres lecteurs avez un retour terrain à nous faire partager, n'hésitez-pas à enrichir l'échange.
Amicalement,