BYOD
Quand nous pensons à la sécurité de l’information, nous avons tendance à imaginer des pirates et des cybercriminels externes essayant de s’infiltrer dans les réseaux de certaines organisations pour voler leurs informations. Clearswift a dirigé une étude qui adopte une vision globale des incidents liés à la sécurité de l’information et a révélé que 83% des organisations sondées ont déclaré avoir subi une violation de données ces 12 derniers mois. Néanmoins, contrairement à ce que l’on pourrait penser, 58% des incidents proviennent de l’intérieur de l’organisation plutôt que de cybercriminels externes – les coupables étant les employés, les ex-employés et les partenaires de confiance : des gens comme vous et moi.
L’étude a révélé que 72% des organisations éprouvent des difficultés à suivre les changements du paysage de la sécurité et les politiques nécessaires pour suivre les nouvelles méthodes que le monde utilise pour communiquer ainsi que la manière dont les entreprises sont menées aujourd’hui. L’un des changements majeurs concernant aussi bien les pratiques des entreprises que les risques pour celles-ci est l’utilisation de plus en plus courante de la politique « Bring Your Own Device » (BYOD, « apportez vos appareils personnels » en français).
Les trois menaces BYOD les plus importantes sont :
1) L’utilisation d’appareils USB ou de stockage par les employés
2) Les erreurs humaines involontaires
3) Les employés qui envoient de e-mails professionnels via leurs messageries électroniques personnelles.
Cependant, il ne serait pas juste de rejeter uniquement le blâme sur les employés s’ils sont encouragés (ou pour le moins si on ne leur interdit pas) à adopter le BYOD. Environ un tiers (31%) des organisations gère le BYOD de manière proactive, alors que 11% le rejette complètement. Les entreprises qui rejettent l’utilisation du BYOD ont plus de chances de faire face à des menaces de sécurité internes (37% contre 18% pour celles qui le gèrent de manière proactive). De plus, dans cette étude, 53% ont déclaré que leurs employés utilisaient le BYOD sur les réseaux de l’entreprise que cela soit sanctionné ou non. La responsabilité revient donc à l’entreprise qui doit gérer l’utilisation de ses réseaux plutôt que de faire l’autruche et de faire comme si rien ne se produisait.
Que faire donc ? Les organisations ont besoin de prendre conscience que les menaces de l’intérieur sont au moins aussi importantes que celles provenant de l’intérieur et elles devraient donc gérer leur sécurité en conséquence. Pour ce qui est du BYOD, une série complète de politiques doit être mise en place aussi vite que possible. Un programme d’éducation ou de sensibilisation sur les risques du BYOD et leur prévention devrait être mis en place aussi bien pour les employés que pour les employeurs, de façon à ce que les appareils des employés puissent être utilisés en toute sécurité.
Si votre entreprise n’a toujours pas établi de règles BYOD, en tant qu’employé, vous pouvez suivre nos recommandations :
1. N’exposez pas votre entreprise (ou vous-même) à des risques en utilisant votre appareil personnel, même vos clés USB, pour gérer des données professionnelles sans avoir consulté, au préalable votre administrateur systèmes ou un employé du département de la sécurité de l’information.
2. Si vous avez besoin d’une clé USB, utilisez une clé qui dispose d’un système de chiffrement – et préférablement une clé que la compagnie approuve. Il existe de nombreux modèles et ils ne sont pas beaucoup plus chers que les modèles sans système de chiffrement. Pour 30€ de plus vous pourriez sauver la réputation de votre compagnie.
3. Il est de même pour vos comptes de messagerie électronique privée. Si vous avez vraiment besoin d’utiliser votre adresse personnelle (car votre messagerie professionnelle est indisponible, par exemple), installez un compte à cet effet avec une sécurité maximale (l’activation de l’authentification à deux facteurs de Gmail pourrait être un bon début).
4. Envoyez tous vos documents dans un format chiffré. Il existe plein de façons de le faire – en commençant par protéger vos documents Microsoft Office ou vos fichiers .zip avec un mot de passe fort. Bien sûr, vous ne pouvez pas envoyer les mots de passe dans le même e-mail : appelez le destinataire et communiquez-lui les mots de passe au téléphone.
5. N’installez pas votre compte de messagerie électronique professionnelle sur votre appareil personnel sans avoir au préalable consulté votre administrateur systèmes. Il existe des solutions de sécurité adaptées pour réaliser cela en toute sécurité.
Conseils