vendredi 31 mai 2013

L'Anssi déconseille aux entreprises d'accepter le BYOD

L'utilisation de smartphones en entreprises, qu'ils soient fournis par l'entreprise ou apportés par les salariés (phénomène BYOD) induisent forcément des risques accrus de sécurité et de fuite de données.

Les fabricants et les éditeurs spécialisés multiplient les solutions pour maîtriser cette tendance avec des outils de protection  ou permettant notamment de séparer hermétiquement environnement perso et pro au sein du même terminal (Good Technology, Blackberry Balance, Samsung Knox etc...).

Mais pour l'ANSSI, l'agence nationale de la sécurité des systèmes d'information, ces solutions sont insuffisantes. "Les solutions de sécurisation actuelles sont peu efficaces pour assurer une protection correcte des données professionnelles", peut-on lire dans une note technique que l'agence vient de diffuser.

Elle en profite donc pour livrer 21 recommandations destinées aux directions informatiques.

BYOD : pas une bonne idée

"Lorsque les systèmes d’information traitent d’informations sensibles, les terminaux permettant d’y accéder doivent impérativement être dédiés et avoir fait l’objet d’une évaluation de sécurité, idéalement être labellisés par l’ANSSI. Cette labellisation permet en effet d’attester de la robustesse de la solution par rapport aux principales menaces a contrario de celles qui consistent simplement en un développement applicatif (une « application de sécurité ») qui n’apporteront, au mieux, qu’une protection partielle des données sensibles. Lorsque les données sont classifiées, portent la mention Diffusion Restreinte ou Spécial France, une réglementation spécifique s’applique", prévient l'agence. 

On peut notamment citer l'utilisation de solutions centralisée de gestion de terminaux mobiles (MDM), la réduction des durées de vie des mots de passe ou du délai de verrouillage du terminal, l'interdiction d'accès aux boutiques d'applications, aux fonctions de géolocalisation liées aux applications, le chiffrement du stockage internet etc...

Finalement, l'ANSSI estime que le BYOD est loin d'être une bonne idée pour les entreprises. "Du fait des recommandations précédentes, la cohabitation des usages privés et professionnels sur un même terminal doit être étudiée avec attention. Le respect des exigences du présent document n’est en tout état de cause pas compatible d’une politique BYOD au sein d’un organisme. Dans la plupart des cas, le terminal professionnel devra être dédié à cet usage (l’utilisateur pouvant
généralement utiliser son propre terminal pour les usages personnels).

Si l’utilisation d’un seul ordiphone pour les deux contextes ne peut pas être évité, selon la sensibilité des données de l’entreprise traitées sur le mobile, il convient de mettre en œuvre des solutions dédiées pour cloisonner efficacement chaque environnement (personnel, professionnel) en étant vigilant sur les niveaux de sécurité variés des solutions du marché. Une qualification par l’ANSSI doit être un critère de choix d’une telle solution", souligne l'agence.

Aucun commentaire:

Enregistrer un commentaire