Lorsque la mot BYOD* est abordé lors d’une discussion entre dirigeants, la grande majorité des responsables de la sécurité des systèmes d’information (RSSI) prennent peur. En tant que RSSI, nous sommes par nature conditionnés à éviter l’utilisation du BYOD sous toutes ses formes (que ce soit pour le personnel sur site, en mobilité ou en télétravail).
Malgré l’existence d’outils efficaces de gestion des appareils mobiles pour le personnel sur site ou en mobilité, la Covid-19 a créé un cas d’utilisation du BYOD qu’aucun RSSI sain d’esprit n’aurait pu imaginer un jour : laisser un collaborateur utiliser son propre appareil personnel pour fournir des services à l’entreprise dans des environnements B2B et B2C. Fort heureusement pour mes partenaires, on m’a souvent accusé de ne pas être sain d’esprit... car je mets l’accent sur la prévention des menaces potentielles, sans me concentrer sur la « faible tolérance au risque » induite par le recours au BYOD. En réalité, pour le BYOD, j’ai la conviction qu’il existe une approche qui pourrait s’avérer aussi sûre que l’utilisation d’un appareil d’entreprise à la maison.
Quels sont les risques induits par le télétravail ?
Je me suis toujours efforcé d’analyser les cyber-risques en me mettant dans la peau d’un pirate informatique. En m’intéressant aux cas de menaces liées à l’utilisation du BYOD, la première question à laquelle je tente de répondre est la suivante : quelles sont les pistes les plus probables pour attaquer un système BYOD en télétravail ?
Voici les cas d’utilisation qui, selon moi, présentent le plus grand risque :
- Menace déjà présente sur un système BYOD compromis (par ex., keylogger ou autres outils de surveillance)
- Accès malveillant à l’infrastructure de l’entreprise depuis un système BYOD compromis pour pirater des données sur le réseau
- Violation de données d’entreprise stockées sur le système BYOD
- Usurpation de l’identité de votre collaborateur lors de la connexion via le système BYOD
- Activités malveillantes du collaborateur (par ex., prendre des photos des données ou télécharger des données vers un dispositif de stockage externe ou une solution Cloud)
7 mesures à prendre pour faire face à ces menaces
En raison de la « nouvelle normalité » actuelle, de nombreuses entreprises vont probablement embaucher des collaborateurs via Internet, sans jamais les rencontrer en personne. La fourniture de matériel informatique onéreux (de l’ordre de 1 000$ à 4 000 $) peut poser un risque majeur sur le plan financier. Et si ce collaborateur virtuel pouvait utiliser son propre équipement personnel (BYOD) ? Je pense que cette solution est envisageable, à condition de s’occuper des menaces indiquées ci-dessus.
1. Utilisez un logiciel de sécurité pour vérifier que le système BYOD n’est pas compromis avant la fourniture de vos applications d’entreprise.
2. Ensuite, faites en sorte d’isoler l’utilisation personnelle que fait le collaborateur du système BYOD de votre utilisation professionnelle de la machine. Pour ce faire, vous pouvez utiliser un logiciel installé sur le système BYOD ou une clé USB dotée d’un logiciel de virtualisation. Cela permet de créer une machine virtuelle sur le poste personnel, de manière à ce que le collaborateur ne puisse pas utiliser la machine pour son usage personnel pendant qu’il est connecté pour le travail.
3. Veillez à ce que le logiciel d’isolement ou la clé USB que vous utilisez pour isoler le système BYOD verrouille également les connexions externes en autorisant uniquement celles dont vous avez besoin pour votre entreprise (par ex., clavier, souris, port USB pour casque audio seulement, webcam).
4. Établissez une connexion à votre réseau d’entreprise à l’aide d’une authentification à multiples facteurs.
5. Fournissez vos applications d’entreprise et le bureau via une infrastructure de bureau virtuel, avec toutes les technologies de sécurité que vous utilisez pour vos appareils d’entreprise (par ex., utilisation d’un logiciel d’EDR, Protection contre la Perte de Données, proxy internet, gestion des vulnérabilités).
6. Servez-vous d’un logiciel de détection des anomalies pour confirmer de visu que la personne assise derrière votre machine virtuelle d’entreprise est bel et bien le collaborateur, en utilisant un outil de reconnaissance faciale tout au long de la journée de travail (si la législation locale de protection de la vie privée vous y autorise).
7. Si vos tâches professionnelles exigent l’application de la politique du bureau propre/clean desk (par ex., traitement de données de cartes de paiement), tirez profit de nouvelles technologies de sécurité qui utilisent l’intelligence artificielle et l’apprentissage automatique pour détecter les menaces (par ex., prendre des photos de l’écran avec un téléphone portable).
Comment Teleperformance a-t-il fait face à ces menaces ?
Déterminer si un système BYOD est compromis
Nous parons à cette menace en réalisant un scan de sécurité de la machine avant de démarrer le logiciel d’isolement.
Empêcher tout accès indésirable à l’entreprise
Une authentification à facteurs multiples avec un réseau privé virtuel (VPN) ou Security Access Service Edge (SASE) constitue un moyen de contrôle efficace, offrant un niveau de sécurité très élevé lorsqu’il est correctement mis en œuvre.
Violation de données stockées sur la machine
Grâce à l’utilisation d’une infrastructure de bureau virtuel, il n’y a jamais de données sur le système BYOD.
Violation de données sur le réseau de l’entreprise
Grâce à un bureau virtuel correctement configuré, à des contrôles de sécurité (par ex., EDR, DLP, proxy internet) sur l’ordinateur de bureau et au verrouillage des ports du périphérique, il est très peu probable qu’un collaborateur malveillant parvienne à extraire des données. Il convient de mettre en place des tests régulier pour veiller à ce que vos contrôles et verrouillages fonctionnent comme prévu.
Usurpation de l’identité d’un collaborateur
Le recours à un logiciel de reconnaissance faciale tout au long de la journée de travail (si la législation de protection de la vie privée vous y autorise) permettra de garantir que la personne assise derrière le système BYOD est bel et bien votre collaborateur.
Activités malveillantes du collaborateur
Il s’agit là d’une technologie passionnante et émergente dans le domaine de la cybersécurité. Grâce à l’intelligence artificielle et l’apprentissage automatique, la webcam (si les lois sur la protection de la vie privée vous y autorisent) peut examiner l’espace de travail du collaborateur pour veiller au respect de la « politique du bureau propre/clean desk », et même envoyer une alerte si une deuxième personne est présente derrière l’ordinateur, ou si le collaborateur utilise un téléphone portable pour prendre des photos de l’écran.
« Si vous connaissez votre ennemi et vous connaissez vous-même, vous n'avez pas à craindre le résultat de cent batailles » – Sun Tzu, célèbre stratège militaire chinois
Les besoins, les préférences et les comportements des êtres humains évoluent et, tout comme eux, les modèles opérationnels doivent changer et s’adapter. On estime que ces derniers mois ont accéléré les modèles de transition vers le numérique et de télétravail en leur faisant gagner 5 à 10 ans.
Ainsi, 33 % de la main-d’œuvre aux États-Unis est déjà en télétravail à plein temps, et 25 % de la population active télétravaille de temps en temps, selon une récente enquête publiée par Gallup.
- Gallup a également confirmé que près des deux tiers des télétravailleurs souhaitent poursuivre le télétravail.
- À l’échelle mondiale, Global Workplace Analytics prévoit que 25 à 30 % de la population active mondiale travaillera depuis chez elle plusieurs jours par semaine d’ici la fin de l’année 2021.
Ainsi, tout laisse penser que dans un avenir proche les équipes en charge de l’informatique et de la sécurité vont devoir relever un défi à en continuant de gérer, à grande échelle, les employés travaillant à distance. Et, bien que cette approche où un collaborateur utilise un système BYOD ne réponde au niveau de risque acceptable pour tout le monde, je suis convaincu que cela peut être réalisé en toute sécurité avec l’architecture adéquate et en utilisant la sécurité et le respect de la vie privée comme principes directeurs.
*BOYD « bring your own device »
En français, PAP pour « prenez vos appareils personnels » ou AVEC pour « apportez votre équipement personnel de communication »