Les risques en utilisant vos propres matériels et logiciels

Les risques en utilisant vos propres matériels et logiciels en entreprise. Le Bring You Own Device ou BYOD est une pratique répandue d’utiliser son propre PC et ses propres logiciels en entreprise pour réaliser ses missions.

Pour certains le BYOD c’est le Bring Your Own Disaster tant les risques importés sont importants.

Les pratiques du BYOD (Bring Your Own Device) font référence à la manière dont les organisations mettent en œuvre et gèrent l’utilisation des appareils personnels des employés à des fins professionnelles. Cette approche permet aux employés d’utiliser leurs propres ordinateurs portables, tablettes ou téléphones personnels pour le travail. L’essor du travail hybride a encouragé de nombreuses entreprises à adopter une politique de BYOD.

Le BYOD est souvent subit par les organisations. Il faut constater que parfois les matériels et logiciels à disposition du grand public sont plus performants que ceux de leur organisation.

Deux raison à cette situation. Sur les matériels les particulier ont accès aux même technologies que les entreprises plus vite car ils n’ont pas l’effet de flotte à gérer. Ils peuvent acquérir le dernier matériels sans soucis d’intégration dans un écosystème. Au niveau logiciels, le mode de financement de services en ligne permet aux particuliers de disposer de meilleures offres. En effet à partir du moment ou le produit est l’utilisateur, on lui permet d’utiliser le service gratuitement en échange de ses données.

Le sujet est quand tout cela est utilisé dans une entreprise ou le secteur public.

Types de politiques mises en oeuvre: Les entreprises peuvent adopter une politique BYOD de base ou complète. Une mise en œuvre globale peut quadrupler les économies réalisées par rapport à une approche de base. Outre le BYOD, il existe d’autres politiques relatives aux appareils mobiles telles que CYOD (Choose Your Own Device), COPE (Corporate Owned/Personally Enabled) et COBO (Corporate Owned/Business Only), qui varient en termes de flexibilité et de contrôle par l’entreprise. Le BYOD est l’option la moins rigide.

Avantages pour l’entreprise : Les avantages incluent des économies sur le matériel, la maintenance et les coûts de télécommunication, une potentielle augmentation de la productivité des employés car ils sont plus à l’aise avec leurs propres appareils, une pratique plus durable en réduisant la surconsommation d’appareils, et la suppression des coûts et du temps liés à la formation des employés sur de nouveaux appareils fournis par l’entreprise.

Risques et inconvénients : Les principaux inconvénients comprennent l’augmentation des risques de cybersécurité (jailbreaking, réseaux non sécurisés, fuites de données, etc.), des problèmes éthiques liés au respect de la vie privée des employés et à l’inégalité d’accès à la technologie, et des problèmes de compatibilité entre différents matériels et logiciels. L’utilisation d’appareils personnels peut également exposer l’entreprise à des risques juridiques et de sécurité, notamment en ce qui concerne la protection des données personnelles (RGPD).

Il existe de meilleures pratiques pour atténuer les risques : Pour bénéficier des avantages du BYOD tout en minimisant les inconvénients, les entreprises devraient :

• Prévoir un budget pour la formation régulière des employés à la cybersécurité et aux meilleures pratiques d’utilisation de leurs appareils à des fins professionnelles.
• Créer un plan d’action clair pour le départ des employés afin de gérer les données de l’entreprise présentes sur leurs appareils personnels.
• Utiliser un logiciel de gestion des appareils mobiles (MDM) pour surveiller, gérer et sécuriser les données sur les appareils personnels.
• Élaborer la politique BYOD de l’entreprise de manière collaborative avec les différents départements, en définissant clairement les attentes et les règles d’utilisation. Il est important de formaliser cette politique par un document écrit et signé par les employés.
• Adapter la sécurité informatique de l’entreprise aux vulnérabilités potentielles des appareils personnels. Cela peut inclure le déploiement d’outils de cloisonnement des environnements de travail personnels et professionnels.
• Sensibiliser le personnel aux bonnes pratiques d’hygiène numérique et aux enjeux de sécurité spécifiques à leur secteur d’activité. Il est recommandé de limiter l’utilisation des appareils personnels aux usages les moins sensibles.
• Encadrer étroitement les changements de fonction et les départs des employés pour s’assurer qu’ils ne conservent pas d’accès ou de données professionnelles sur leurs appareils personnels.

Le phénomène est en place, comment les DSI peuvent réduire ce risque

Pour atténuer les inconvénients de l’approche BYOD, les entreprises peuvent mettre en œuvre plusieurs stratégies et meilleures pratiques, comme le soulignent les sources.

Il est crucial de développer une stratégie de gestion des appareils mobiles bien pensée.

Il existe des solutions logiciels pour augmenter la sécurité du réseau. L’anti virus ne suffit plus.

Les entreprises peuvent utiliser des logiciels de type EDR (Endpoint Detection and Response) pour la détection des menaces sur les ordinateurs et serveurs connectés au réseau.

Coté réseau, il existe aussi des solutions.

L’adoption de la technologie MPLS (MultiProtocol Label Switching) peut offrir un réseau privé plus sécurisé que les VPN.

La mise en place d’un modèle de sécurité Zero Trust peut limiter l’accès aux ressources en fonction de la légitimité et de l’autorisation des utilisateurs.

Il est vivement recommandé aux salariés de cloisonner leurs usages personnels et professionnels sur leurs appareils numériques partagés. Sur ce plan, les solution ne sont pas simples et la plupart du temps cela ne sera pas fait.

Une charte encadrant le recours aux outils numériques personnels doit être présentée à tous les salariés dès leur recrutement, prévoyant notamment les tâches autorisées et les droits d’accès.

Des procédures claires doivent être établies en cas de vol ou de perte d’un matériel personnel utilisé à des fins professionnelles, ainsi qu’en cas d’incident avéré ou suspecté sur l’appareil, ou en cas de suspicion de compromission.

Source

Flash DGSI infogérence