Les risques informatiques liés au BYOD

Cyrille Jeunehomme — 31 octobre, 2023

Sommaire
ACI TECHNOLOGY -Les risques informatiques liés au BYOD

LE BYOD « Bring Your Own Device » ou « Apportez votre propre matériel »

Il est très développé et correspond aux nouvelles pratiques de travail, mais cela présente de forts risques en matière de sécurité des données pour les employeurs et les salariés.

Technicienne ACI Technology assurant la supervision des systèmes informatiques et le support technique sur plusieurs écrans de monitoring

Le BYOD, c’est quoi exactement !

Les appareils mobiles personnels et notamment  les smartphones sont de plus en plus utilisés de façon professionnelle et vie professionnelle et personnelle tendent à se confondre.

L’emploi de téléphones portables, d’ordinateurs portables, de mobiles multifonctions (smartphone) ou de tablettes, sont indispensables à un certain nomadisme professionnel et à l’échange de données.

Pourtant les pratiques professionnelles telles que : télétravail, travail dans des lieux publics ou dans les transports en commun, présentent des enjeux de sécurité dont il faut tenir compte.

L’usage des smartphones est au premier plan concerné. Il est délicat voire impossible de demander aux salariés de déconnecter leurs téléphones d’internet en arrivant à leur poste.

Quels sont les dangers d’amener vos appareils personnels à votre travail ?

L’introduction d’appareils personnels, peut mettre en danger la sécurité des données de l’entreprise sans que le salarié en ait conscience : Espionnage de vos informations sensibles (contrats, projets, etc.) piégeage de vos équipements (keylogger, etc.) vol de vos équipements, de vos informations personnelles et de connexions.

Les entreprises ayant une activité stratégique ou qui traitent de données sensibles sont particulièrement concernées.

Un pirate informatique aura beaucoup plus de facilité à pénétrer le système informatique d’une entreprise en passant par un appareil personnel qui n’a pas de protection particulière plutôt que de pirater le système de sécurité plus complexe que son employeur a mis en place.

Par exemple, Certaines entreprises telles q’IBM en mai 2012 ont interdit l’utilisation de deux applications populaires. Il s’agissait de Dropbox (service de stockage dans le Cloud) et de Siri (assistant personnel pour iPhone qui enregistre les requêtes vocales).

Quels sont les recours pour l’entreprise face au BYOD ?

L’entreprise ne peut restreindre l’usage privé des smartphones personnels au motif que cet équipement peut être utilisé pour accéder aux ressources de l’entreprise (interdire la navigation sur Internet, le téléchargement d’applications mobiles).

Cela pourrait facilement être considérées comme une atteinte à la liberté et à la vie privée du collaborateur.

Un risque de flou entre vie professionnelle et vie privée

Si les risques du BYOD portent principalement sur les données de l’entreprise, l’usage de ces appareils par les salariés génère aussi un flou juridique quant à leur usage.

En effet, Il peut être difficile pour un salarié de se déconnecter sur son temps de repos, il peut ressentir comme une urgence ou une pression à répondre aux notifications qu’il reçoit hors de son temps de travail.

Un autre risque est que l’employeur ait la possibilité technique d’accéder à des éléments relevant de la vie privée stockés dans l’espace personnel de l’équipement (historique des sites internet consultés, photos, films, contacts, etc.).

En effet, l’employeur doit pouvoir accéder aux données professionnelles stockées sur l’appareil. Comment s’assurer dans ces cas que la vie privée est respectée ?

Pour finir, le matériel peut être volé ou cassé, qui prend en charge le remplacement ou la réparation ?

La prévention comme arme pour l’entreprise et les salariés

Pour contrer les attaques à la sécurité de l’entreprise des règles strictes et claires peuvent être mises en place :

  • Exiger l’installation d’un antivirus
  • Bannir les clés USB susceptibles d’infecter le système
  • Imposer un changement fréquent de mots de passe sur tous les appareils
  • Sauvegarder régulièrement vos données pour être en mesure de les restaurer en cas de perte ou de vol des équipements
  • Équiper systématiquement vos dispositifs de filtres écran de confidentialité
  • Favoriser des méthodes d’authentification où vos mots de passe ne sont pas préenregistrés dans vos équipements
  • Procéder au chiffrement de vos données les plus sensibles ou de l’ensemble du disque dur. Dans tous les cas, ne pas oublier de configurer un mot de passe de déchiffrement d’urgence ;
  • Ne pas laisser vos équipements et documents confidentiels sans surveillance
  • Configurer une durée de verrouillage automatique inférieure à 5 minutes
  • Informer votre entreprise en cas de perte ou de vol
  • Ne connecter pas vos dispositifs pros à des équipements non fiables (hotel, train, Commerces…)
  • Sensibiliser vos employés aux dangers du nomadisme (ex : évitez de travailler sur des documents sensibles dans le train, etc.).
  • Utiliser uniquement du matériel fourni par l’entreprise refusez la connexion d’équipements appartenant à des tiers (smartphone, clé USB, etc.) sur vos postes, utilisez votre propre chargeur
  • Si vous devez accéder à distance aux systèmes d’information de l’entreprise, utilisez un logiciel VPN chiffré
  • Protéger l’accès au BIOS avec un mot de passe solide

FAQ : Guide du BYOD

Qu’est-ce que le BYOD et pourquoi est-il devenu populaire après la COVID-19 ?

Il se réfère à la pratique permettant aux employés d’utiliser leurs propres appareils personnels pour des tâches professionnelles. Avec l’augmentation du télétravail suite à la pandémie de COVID-19, de nombreuses entreprises ont adopté cette pratique pour faciliter la continuité des activités sans nécessiter un investissement massif dans de nouveaux équipements.

Quels sont les principaux risques de sécurité associés au BYOD ?

L’utilisation d’appareils personnels pour des activités professionnelles peut exposer les entreprises à des risques de sécurité tels que l’espionnage des informations sensibles, le piégeage des équipements avec des logiciels malveillants, ou le vol d’informations personnelles et professionnelles. Les appareils personnels peuvent ne pas avoir les mêmes protections de sécurité que les appareils fournis par l’entreprise, rendant ainsi le réseau d’entreprise vulnérable aux attaques.

Comment les entreprises peuvent-elles minimiser les risques associés au BYOD tout en permettant à leurs employés d’utiliser leurs propres appareils ?

Les entreprises peuvent mettre en place des politiques et des procédures strictes concernant l’utilisation des appareils personnels. Cela peut inclure l’exigence d’installer un logiciel antivirus, l’interdiction d’utiliser certaines applications non sécurisées, l’obligation de changer régulièrement les mots de passe, et la formation des employés aux meilleures pratiques de sécurité. La mise en œuvre d’un VPN chiffré pour accéder à distance aux ressources de l’entreprise est également recommandée.

Infogérance & services hébergés,
géré par des Experts