Facebook a réussi le vol d'essai de son drone Aquila qui doit fournir une connexion Internet très haut débit aux populations n'y ayant pas accès.

L'Image du jour

Facebook a réussi le vol d'essai de son drone Aquila qui doit fournir une connexion Internet très haut débit aux populations n'y ayant pas accès.

Silicon Valley 2016 : Cap sur l'innovation technologique (1e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (1e partie)

En mars et juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour le...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Le Clusif se penche sur le phénomène du Byod

Crédit D.R.

Crédit D.R.

Le Clusif a publié le résultat de ses réflexions sur les risques liés à la consumérisation de l'IT et au « Bring Your Own Device », le fameux Byod.

L'usage en entreprise d'outils issus du grand public (consumérisation de l'IT) et plus particulièrement si ces outils appartiennent aux collaborateurs eux-mêmes (« Bring Your Own Device » ou BYOD) génère des risques. Le Clusif (Club de la Sécurité des Systèmes d'Information Français) s'est récemment penché sur le sujet lors d'un colloque début mai et vient de publier ses recommandations. Beaucoup de celles-ci relèvent d'un apparent bon sens pourtant pas tant partagé.
Le BYOD concerne bien sûr les smartphones mais aussi les micro-ordinateurs, portables ou non. Historiquement, c'est même l'usage de Mac'Intosh personnels dans des entreprises vouées au seul PC Windows qui fut le début des problèmes. Il ne faut pas non plus oublier les outils « passifs » tels que des disques durs externes.

Selon le Clusif, trois types de risques sont à prendre en compte : les risques pour les données professionnelles ou personnelles, ceux pour le système d'information de l'entreprise et ceux relevant de l'organisation et des obligations juridiques. Ces risques peuvent se matérialiser sur trois localisations : les terminaux eux-mêmes, les liens réseaux entre les terminaux et le système d'information et enfin sur le système d'information lui-même. Le Clusif préconise donc une approche avec une matrice de trois lignes sur trois colonnes, soit un total de neuf configurations de risques.

Des risques anciens revenant sur le devant de la scène

Il insiste également sur le fait que le risque purement technique qui peut se loger dans chacune de ces neuf cases n'est pas nouveau mais que le fait que l'entreprise ne possède pas la maîtrise du contenu de chaque case change la donne. En effet, un risque logé sur un terminal, par exemple, pourrait être traité si ce terminal était sous le contrôle de l'entreprise. Mais le fait que le terminal appartienne à un tiers (en l'occurrence un salarié) ayant ses propres préoccupations implique une non-maîtrise directe de ce risque.

Le Clusif signale ainsi que des précautions de base, comme la mise en place d'un banal mot de passe, implique une dégradation d'ergonomie et peuvent se voir ainsi rejetées par les utilisateurs. De même, des mesures d'administration des terminaux (avec gestion des patches de sécurité par exemple) peuvent être refusées par ces utilisateurs craignant pour les usages privés de leurs propres outils. Or ce sont les utilisateurs, ici, qui ont le pouvoir. Ne parlons même pas de cryptographie.

Un bon sens nécessaire mais insuffisant

D'une manière générale, le Clusif recommande donc de ne jamais stocker de données sur un terminal non-maîtrisé. L'accès au système d'information doit donc se faire via des applications dédiées sécurisées en elles-mêmes ou via des déports d'écran (webisation, poste virtuel, etc.). Le terminal est dès lors considéré comme non-sûr par défaut. La connexion doit, de préférence, passer par un tunnel sécurisé de type VPN (réseau privé virtuel).

Les risques juridiques et organisationnels sont, du fait de la solution « aisée » aux problèmes techniques, considérés par le Clusif comme les risques principaux. Des questions sensibles peuvent ainsi surgir : réactivité aux sollicitations par e-mails en dehors des heures normales de travail, traçabilité des outils et respect de la vie privée, limitations du rôle de l'administrateur de parc, contribution de l'entreprise à l'acquisition d'un terminal voire responsabilité en cas de vol ou de perte...

Ce dernier point est notamment sensible si l'on évolue d'un « bring your own device » (apportez votre propre terminal), issu de l'envie des collaborateurs de disposer d'outils à leurs goûts, à un « buy your own device » (achetez votre propre terminal) plus ou moins imposé par les entreprises qui y verraient une source d'économies.
Notons que, à ce jour, aucune jurisprudence n'est disponible sur un conflit du travail lié au BYOD en France.

Pour en savoir plus

Pour consulter l'étude du Clusif sur le Byod : www.clusif.asso.fr/

Article de

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
13 Octobre 1986 n°251
Publicité
Publicité