Les appareils mobiles Bring Your Own Device (BYOD) sont actuellement un gros problème pour les DSI et les professionnels de la sécurité des TIC, tant dans le secteur public que dans le secteur privé. L’Institut national des normes et de la technologie (NIST) des États-Unis vient tout juste d’apporter son aide dans sa publication spéciale de juin 2013 intitulée Lignes directrices pour la gestion de la sécurité des appareils mobiles dans l’entreprise. Pourquoi le BYOD est-il si important? Un récent sondage sur le réseau de partenaires de Cisco, BYOD Insights, donne quelques réponses: – 9 Américains sur 10 utilisent leur smartphone pour le travail – 40% ne pas mot de passe protéger leurs smartphones – 51% des Américains se connectent à des réseaux sans fil non sécurisés sur leur smartphone – 52% désactivent le mode détectable Bluetooth Bien sûr, cette enquête était aux États-Unis. Comment l’Australie se comparerait-elle? Probablement pire, à en juger par un rapport sur la génération haptique du 23 avril 2013, Comment les Australiens utilisent les téléphones intelligents et les tablettes, qui indique que: – Il y a 30,2 millions de services mobiles en Australie – Plus de la moitié des Australiens devraient avoir une tablette d’ici 2016 – 12% du trafic Web australien se fait via des appareils mobiles – 43% utilisent un smartphone pour trouver des avis sur les produits avant de prendre une décision d’achat – Les Australiens sont en tête du monde en matière d’adoption de smartphones – Les dépenses de publicité mobile en Australie devraient augmenter de 65% cette année – Les annonces mobiles sont remarquées par 87% des utilisateurs de smartphones – 54% des Australiens se sont déjà engagés dans la publicité sur un téléphone mobile Les problèmes BYOD spécifiques qui ont été discutés récemment par les gourous de l’industrie, comprennent: – Le problème de la vie privée BYOD: la suspicion des employés et le ressentiment des politiques BYOD organisationnelles qui exposent les données personnelles à l’examen de l’organisation – Perte ou vol de périphériques BYOD – Que faire lorsque le personnel du BYOD part ou est licencié? – BYOD obligatoire, où le contrat de travail exige que le personnel achète un appareil personnel et l’utilise pour le travail. Un article du CIO Magazine de mai 2013. Selon BYOD Heading Your Way, «la moitié des employeurs exigeront des employés qu’ils fournissent leur propre appareil pour le travail d’ici 2017, selon un sondage Gartner des DSI» et «Déjà, les experts BYOD anticipent un flot de poursuites contre la vie privée et les heures supplémentaires. » Les articles de l’industrie et les blogs ont suggéré des façons de traiter le problème BYOD. Un bon exemple est le blog InfoWorld The Squeaky Wheel de Brian Katz, qui dans un blog du 03 Juin 2013, La bonne façon de gérer BYOD, a suggéré qu’une approche d’accès hiérarchisé aux ressources informationnelles est la clé d’une sécurité mobile efficace. La vraie façon de gérer BYOD est de passer au BYOD managé (MBYOD), ce qui signifie « construire un système à plusieurs niveaux pour accéder à votre écosystème d’entreprise.Vous créez votre système d’accès à plusieurs niveaux, puis associez différents appareils à chaque niveau d’accès. est de faire connaître ce système à tous les membres de l’entreprise. » Comment ces conseils se comparent-ils aux recommandations du NIST? En général, il s’aligne sur les conseils du NIST – Les organisations doivent avoir une politique de sécurité des appareils mobiles – Les organisations doivent développer des modèles de menace système pour les appareils mobiles et les ressources accessibles via les appareils mobiles – Les organisations qui déploient des appareils mobiles doivent tenir compte des avantages de chaque service de sécurité fourni, déterminer les services nécessaires à leur environnement, puis concevoir et acquérir une ou plusieurs solutions qui fournissent ensemble les services nécessaires. Dans la section 2.2, Menaces et vulnérabilités de haut niveau, les lignes directrices énumèrent les principales préoccupations en matière de sécurité concernant les technologies qui seraient incluses dans la plupart des modèles de menace des appareils mobiles. par exemple: Section 2.2.1, Absence de contrôles physiques de sécurité, note que «lors de la planification des politiques et contrôles de sécurité des appareils mobiles, les organisations devraient supposer que les appareils mobiles seront acquis par des tiers malveillants qui tenteront de récupérer des données sensibles directement ou indirectement. en utilisant les périphériques pour accéder aux ressources distantes de l’organisation. La stratégie d’atténuation pour cela est en couches. Une couche implique l’authentification avant d’accéder au dispositif mobile ou aux ressources de l’organisation accessibles via l’appareil … Une deuxième couche d’atténuation consiste à protéger les données sensibles … Enfin, une autre couche d’atténuation implique la formation et la sensibilisation des utilisateurs, pour réduire la fréquence de pratiques de sécurité physique insécurisées. » La section 3, Technologies pour la gestion des appareils mobiles, donne un aperçu de l’état actuel des technologies centralisées de gestion des appareils mobiles, en mettant l’accent sur les composants, les architectures et les capacités des technologies. La section 4, Sécurité du cycle de vie de la solution d’appareil mobile d’entreprise, explique comment les concepts présentés dans les sections précédentes du guide doivent être intégrés tout au long du cycle de vie des solutions d’appareils mobiles d’entreprise. Les annexes fournissent des références utiles à la prise en charge des contrôles et publications de sécurité NIST SP 800-53 et à d’autres ressources, y compris les sites de liste de contrôle relatifs à la sécurité des appareils mobiles. La publication NIST note que la plupart des organisations n’ont pas besoin de tous les services de sécurité possibles fournis par les solutions d’appareils mobiles. Les catégories de services à prendre en compte sont les suivantes: – Stratégie générale: application de stratégies de sécurité d’entreprise sur le périphérique mobile, telles que la restriction de l’accès au matériel et aux logiciels, la gestion des interfaces réseau sans fil, la surveillance, la détection et le reporting automatiques en cas de violation des règles. – Communication et stockage des données: supportant les communications de données et le stockage de données fortement cryptés, effaçant l’appareil avant de le réémettre et l’effaçant à distance s’il est perdu ou volé et risque de voir ses données récupérées par une partie non fiable. – Authentification des utilisateurs et des périphériques: authentification du périphérique et / ou autre authentification avant d’accéder aux ressources de l’organisation, réinitialisation à distance des mots de passe oubliés, verrouillage automatique des périphériques inactifs et verrouillage à distance des périphériques suspectés d’être déverrouillés dans un emplacement non sécurisé. – Applications: restriction des applications utilisables et des applications à installer, restriction des autorisations attribuées à chaque application, installation et mise à jour des applications, restriction de l’utilisation des services de synchronisation, vérification des signatures numériques sur les applications et distribution des applications de l’organisation magasin d’applications mobiles dédié. Rappelez-vous, ce qui précède ne sont que quelques-uns des points du résumé des lignes directrices du NIST. La publication est destinée aux directeurs de l’information, aux responsables de la sécurité de l’information, aux responsables de la sécurité, aux ingénieurs, aux administrateurs et aux autres responsables de la planification, de la mise en œuvre et du maintien de la sécurité des appareils mobiles. Il suppose que les lecteurs ont une compréhension de base des technologies d’appareils mobiles et des principes de sécurité d’entreprise. Les lignes directrices du NIST s’appliquent aux appareils mobiles fournis par l’organisation et BYOD. (Les ordinateurs portables sont hors de portée, tout comme les appareils mobiles ayant une capacité de calcul minimale, tels que les téléphones cellulaires de base.) Les lignes directrices recommandent la sélection, la mise en œuvre et l’utilisation de technologies de gestion centralisées. Ils expliquent également les problèmes de sécurité inhérents à l’utilisation des appareils mobiles et formulent des recommandations pour sécuriser les appareils mobiles tout au long de leur cycle de vie. Ainsi, bien que les lignes directrices du NIST soient un ajout bienvenu à notre base de connaissances sur le BYOD et la sécurité des appareils mobiles en général, elles peuvent être un peu excessives pour les petites et moyennes organisations ou même pour certains ministères. Dans le prochain numéro du bulletin, nous examinons des exemples spécifiques de la façon dont le gouvernement australien et le secteur privé traitent les problèmes de BYOD et de sécurité des appareils mobiles. A lire sur le site de spécialiste en référencement naturel à Lille.