B. L'UTILISATION DE TERMINAUX PERSONNELS : UN « CHEVAL DE TROIE »
L'utilisation par les salariés de leurs propres appareils (téléphone portable, ordinateur, tablette) sur leur lieu de travail, dans le cadre de leur activité est de plus en plus fréquente.
1. Une pratique née dès le début du XXIème siècle
Cette pratique, « BYOD » ( Bring Your Own Device , en français : « Apportez Votre Equipement personnel de Communication » ou AVEC) voit le jour au milieu des années 2000 dans certaines écoles nord-américaines. Les étudiants sortant de leurs études et entrant dans le monde du travail ont pris l'habitude d'utiliser leur smartphone ou leur tablette informatique durant toute la journée, tant pour consulter leurs mails que pour se tenir au courant de l'actualité. Les entreprises ont favorisé, dans un premier temps, cette pratique compte-tenu de la flexibilité apportée par cette nouvelle façon de consommer l'informatique, « ATAWAD » (« Any Time, Any Where, Any Device » ), conduisant à une mutation des solutions d'accès à leur système d'information, et notamment l'assouplissement des contraintes liées aux horaires, aux terminaux ou aux moyens de connexion.
Si le Code du travail demande à l'employeur de fournir à ses employés les moyens nécessaires à l'exécution de leurs tâches professionnelles, il n'interdit pour autant pas à l'employeur de permettre l'utilisation des moyens personnels des employés, souvent perçus comme plus agréables à utiliser, car plus familiers.
Désormais, la plupart des salariés possèdent plusieurs interfaces informatiques de travail, à tel point qu'une grande majorité d'entre eux n'envisagent pas de travailler sans leurs outils personnels. Les entreprises ont dû s'adapter à cette tendance. Selon une enquête menée par Dell 32 ( * ) au début de l'année 2014, 93 % des responsables informatiques interrogés autorisaient l'accès au réseau de leur entreprise via des terminaux personnels.
70 % des entreprises qui ont mis en place le « BOYD » ont déclaré avoir obtenu des gains de productivité liés à leurs salariés et une économie de coûts liée à l'absence d'achats de nouveaux terminaux informatiques, pratique leur faisant économiser jusqu'à 180 000 euros en moyenne sur cinq ans selon une étude de 2014 33 ( * ) . Cette « aubaine » pour les services informatiques des entreprises a cependant encouragé la diffusion de comportements qui se sont révélés à terme dangereux pour leur sécurité numérique, et également coûteux.
La CNIL souligne ainsi que « la possibilité d'utiliser des outils personnels relève avant tout d'un choix de l'employeur qui peut tout aussi bien l'autoriser sous conditions, ou l'interdire » 34 ( * ) , ce qui était la position du directeur général de l'ANSSI en 2012, pour qui il fallait « entrer en résistance vis-à-vis de la liberté totale de l'usage des nouvelles technologies en entreprise » car « la sécurité c'est aussi le courage de dire non » . L'agence publie en mai 2013 une note mettant en évidence le fait qu'il est impossible d'avoir un haut niveau de sécurité avec un ordinateur ou une tablette ordinaire 35 ( * ) .
En effet, « ouvrir son système d'information à n'importe quel terminal depuis n'importe quel lieu augmente forcément la surface d'attaque », avertit le Livre blanc de la cybersécurité à l'usage des dirigeants d'entreprise 36 ( * ) .
|
BYOD, LE RISQUE « BRING YOUR OWN DISASTER » « Même dans un environnement informatique traditionnel, il n'est pas toujours facile de bien comprendre, différencier, sélectionner et, enfin, implémenter divers modèles de licences logicielles en parallèle. Ajoutez-y des postes de travail virtuels, des terminaux mobiles, des modèles alternatifs de déploiement applicatif et une dose de BYOD, et les choses se compliquent alors sérieusement. Jusqu'ici, les fournisseurs de solutions de gestion des licences ont plus ou moins ignoré la tendance du BYOD. Par conséquent, difficile pour les entreprises d'adapter des modèles de licences d'hier, basés sur le matériel, aux environnements mobiles et orientés utilisateurs d'aujourd'hui - sans compter les coûts et les problèmes importants liés au monitoring d'un plus grand nombre d'utilisateurs et de terminaux. À mesure que le parc matériel s'enrichit de nouveaux terminaux mobiles, vos coûts et les risques d'infraction aux réglementations augmentent. Vous devez non seulement tenir un inventaire précis des logiciels et terminaux utilisés par chaque collaborateur, mais aussi estimer la valeur de ces informations, trouver un moyen de gérer les spécificités des licences de chaque éditeur et respecter leurs conditions d'utilisation. Vous devrez décider à qui revient la responsabilité de la gestion des licences logicielles. Selon une récente étude 37 ( * ) , près de 70 % des salariés aux États-Unis et en Europe arrêteraient d'utiliser leur propre appareil au travail s'ils savaient que leur employeur pouvait l'effacer ou le verrouiller à distance . D'autre part, 83 % ne s'en serviraient plus, ou avec une certaine appréhension, s'ils savaient que leur entreprise pouvait suivre leurs faits et gestes en permanence. Or, pour protéger correctement ses données et assurer sa sécurité, l'entreprise devra forcément accéder aux appareils personnels de ses salariés. En outre, si l'effacement total du contenu de l'appareil s'avère inévitable, le collaborateur risque de perdre ses fichiers personnels. Si vous décidez au contraire de confier la sécurité de l'appareil à vos collaborateurs, vous devrez leur faire signer un contrat d'utilisateur final. Mais que se passera-t-il si le terminal tombe entre les mains d'un inconnu ou qu'un proche s'en sert ? Pour « atteindre ces objectifs et éviter des sanctions financières coûteuses en cas d'infraction, les entreprises ont souvent recours à des licences collectives couvrant tous les terminaux d'un même site. Or, si seuls 60 % des collaborateurs ont besoin d'un logiciel particulier, pourquoi payer en pure perte pour les 40 % restants ? Et la facture se corse encore davantage en fonction de l'architecture et de la méthode d'accès réseau, de la localisation et du type de terminal, et du modèle de licences choisi par l'entreprise » . Source : « BYOD : Bring Your Own Disaster ? Comment le rêve de toute organisation peut tourner au pire cauchemar » Pierre-Yves Popihn, Solution Architect Manager pour NTT Com Security, DocAuFutur, 9 octobre 2014. |
Dès 2017, le CESIN alertait sur le risque du shadow I T 38 ( * ) , phénomène qui s'est ainsi développé avec la gratuité de nombreux services en ligne et auxquels les utilisateurs se sont inscrits sans toujours se rendre compte du danger représenté pour le patrimoine informationnel de l'entreprise. Lorsque les directions des services informatiques (DSI) des entreprises répertorient en moyenne entre 30 à 40 applications Cloud, 1 700 applications seraient utilisées par leurs employés.
Cette pratique permet toutefois également de repérer des solutions innovantes et de répondre aux besoins des métiers en étoffant le catalogue de la DSI et d'intégrer la stratégie de cybersécurité de l'entreprise.
|
LE DÉVELOPPEMENT DU SHADOW IT « Cela peut aller de la création d'un Réseau Social d'Entreprise hors contrôle de cette dernière avec des offres gratuites comme LinkedIn ou Facebook, à la constitution de services collaboratifs pour des besoins ponctuels en recourant à la gratuité avec à la clé une protection des données réduite à sa plus simple expression. La principale calamité en la matière restant les sites de partage de fichiers qui pullulent sur le WEB et dont la protection laisse le plus souvent à désirer. Or, jusqu'à une période récente, le RSSI était aveugle sur ces usages de services gratuits. Tout au plus disposait-il de statistiques de consommation Internet obtenues à partir des outils de filtrage WEB mais la foisonnance des sites consultés ne pouvait pas lui donner beaucoup d'indications sur l'utilisation réelle de ces services et sur l'ampleur du phénomène. Depuis quelques années de nouveaux outils sont apparus qui devraient redonner au RSSI davantage de visibilité sur ces usages : il s'agit de produits dit CASB (Cloud Access Security Broker) qui sont des points de concentration, déployés dans l'entreprise ou dans le Cloud, placés entre les utilisateurs et les services du Cloud, utilisés pour appliquer les politiques de sécurité de l'entreprise. Ces CASB adressent des sujets très divers comme l'authentification, l'autorisation d'accès, le SSO 39 ( * ) mais aussi la visibilité des applications utilisées dans le Cloud. L'idée est de montrer par « qui » et « comment » sont utilisées ces applications tout en proposant une vision globale de l'utilisation de celles-ci ainsi que certains conseils pour se prémunir des risques principaux ». Source : Rapport Shadow IT France 2017. |
Avec l'apparition de risques de failles de sécurité liés au BYOD, les systèmes CYOD ( Choose Your Own Device ), aussi appelés COPE ( Corporate Owned Personally Enabled ), ont commencé à être utilisés dans les entreprises. Le CYOD prend le contre-pied du BYOD : au lieu de permettre aux salariés d'utiliser leur appareil personnel au travail, le CYOD leur propose un choix de terminaux détenus par l'entreprise dont ils pourront se servir pour leurs activités professionnelles et personnelles. Le terminal appartenant à l'entreprise, ses données peuvent être effacées et sa connexion réseau bloquée à tout moment.
Avec l'essor des smartphones grand public en 2007, les entreprises ont ainsi développé le « Mobile Device Management » 40 ( * ) , applications permettant la gestion d'une flotte d'appareils mobiles, qu'il s'agisse de tablettes ou de smartphones, en s'assurant que tous ses collaborateurs aient des programmes à jour et que leurs appareils soient correctement sécurisés. Le département informatique de l'entreprise gérant les applications mobiles, les réseaux et les données utilisées par les appareils mobiles de l'entreprise ainsi que les appareils mobiles eux-mêmes à l'aide d'un seul logiciel, la propagation de patchs de sécurité ou de nouveaux logiciels pour l'ensemble des collaborateurs est facilitée.
Pour sécuriser ce « BOYD », les entreprises utilisent des logiciels de type EDR ( Endpoint Detection and Response ), technologie de détection des menaces sur les ordinateurs et serveurs connectés au réseau et non le réseau lui-même. Il définit une catégorie d'outils et de solutions qui mettent l'accent sur la détection d'activités suspectes directement sur les hôtes du système d'information.
Ces logiciels peuvent également contribuer à assurer une surveillance et une protection contre les APT ( Advanced Persistent Threats ), qui utilisent souvent des techniques de piratage sans malware 41 ( * ) et des failles de sécurité pour accéder à un réseau. Les anciens logiciels antivirus ne peuvent détecter un malware que lorsqu'ils trouvent une signature correspondante. Ils sont incapables de surveiller les activités d'un pirate pour déterminer qu'il a accès à un ordinateur. Les logiciels EDR utilisent de l'intelligence articifielle et sont auto-apprenants : ils n'ont pas besoin de se connecter sur internet pour mettre à jour leurs bases de données.
Par ailleurs,
la technologie MPLS
(
MultiProtocol Label Switching
)
est désormais
accessible aux PME et TPE
, alors qu'elle était jusqu'à
présent réservée aux grandes entreprises. Le MPLS est un
réseau privé de bout en bout, qui ne transite pas sur Internet.
Les risques d'intrusions ou de failles de sécurité sont moins
importants qu'avec un réseau privé virtuel (VPN)
42
(
*
)
. Cette solution est
paramétrée par un seul opérateur qui supervise et
maintient l'ensemble du réseau de l'entreprise. Ainsi, l'entreprise
s'adresse à un interlocuteur unique qui gère l'ensemble de son
infrastructure.
Le réseau est centralisé et mutualisé
entre les différents sites de l'entreprise. Un seul
firewall
mutualisé suffit pour sécuriser l'ensemble des sites.
Enfin, les entreprises développent le concept Zero Trust 43 ( * ) , modèle de sécurité qui repose sur le principe qu'aucun utilisateur n'est totalement digne de confiance sur un réseau. En conséquence, des utilisateurs, ne peuvent accéder à des ressources qu'après vérification de leur légitimité et de leur autorisation. Ce modèle met en place un « accès basé sur des droits minimums », permettant ainsi de restreindre l'accès des utilisateurs ou groupes d'utilisateurs aux seules ressources dont ils ont besoin.
Cette stratégie de cybersécurité rejette en grande partie l'approche traditionnelle de type « château entouré de douves », qui cherche à défendre la sécurité d'un périmètre, empêcher les attaquants d'entrer, tout en supposant que toutes les personnes et tous les éléments présents à l'intérieur du périmètre disposent d'un accès valide et ne posent ainsi aucun risque pour l'organisation. Cette approche s'appuyant sur des pare-feu et autres mesures de sécurité similaires, s'est avérée impuissante face à la menace posée par des acteurs malveillants situés à l'intérieur des entreprises et qui ont obtenu (ou à qui l'on a donné) l'accès à des comptes à privilèges. Avec la stratégie Zero Trust, chaque utilisateur ne se voit accorder que les privilèges nécessaires à l'accomplissement de ses propres tâches (principe du moindre privilège). Pour chaque session, chaque utilisateur, dispositif et application doit passer la procédure d'authentification et prouver qu'il a le droit d'accéder aux données en question. Ainsi, le piratage d'un compte utilisateur individuel ne compromet qu'une partie de l'infrastructure.
Cette démarche, qui se déploie au niveau de chaque utilisateur individuel, est cependant longue et fastidieuse surtout pour les entreprises déjà dotées d'un système d'information qui doit être totalement repensé. Google, par exemple, a eu besoin de sept ans pour construire le cadre « BeyondCorp », fondé sur la stratégie Zero Trust.
L'entreprise est ainsi exposée en permanence au dilemme entre la flexibilité demandée par les salariés et l'impératif du contrôle de sa cybersécurité.
2. Une généralisation des comportements liée au travail à distance
Au printemps 2020, et en quelques jours, 8 millions de salariés ou fonctionnaires ont basculé la totalité de leur activité en télétravail. « Rares sont les organisations qui avaient pu anticiper un basculement de cette ampleur ou l'envisager de façon cohérente et intégrée à un plan de continuité d'activité. La bascule a été effectuée dans l'urgence, parfois avec les moyens du bord », non sécurisés, comme l'ont rappelé les sénateurs Olivier Cadic et Rachel Mazuir dans leur rapport d'information sur le suivi de la cybermenace pendant la crise sanitaire 44 ( * ) .
Comme en témoigne Tech in France et le Syntec 45 ( * ) : « même certaines entreprises dites « matures » ont mis en place massivement le télétravail sans sécurité, voire demandent à leurs collaborateurs l'utilisation d'ordinateurs personnels sur lesquels les RSSI n'ont aucune prise. La prise de conscience de la nécessité de protection est disparate, et dans l'urgence elle est souvent mise au second plan ».
Malgré les risques avérés, les salariés, travaillant à domicile, ont dû parfois s'équiper en matériel informatique, en logiciels ou en applications qui échappent au contrôle de la DSI des entreprises : utilisation d'une plateforme d'échange publique (WeTransfer, Dropbox, Google Drive, etc.) pour l'envoi de documents confidentiels, appel à un prestataire au niveau de sécurité non connu pour la gestion de bases de données clients, utilisation de clés USB personnelles sur son lieu de travail, le téléchargement d'interfaces de programmation (API) sur internet...
L'impératif de continuité de l'activité a donc pu contribuer à reléguer la sécurité à un second plan. Ceci a favorisé l'essor d'une cybercriminalité d'opportunité, profitant de la réorganisation liée au télétravail pendant le confinement.
Ainsi, on a constaté une augmentation de 667 % des attaques par phishing enregistrées entre le 1 er et le 23 mars 2020 46 ( * ) , à l'occasion du premier confinement général de la population française ...
* 32 Enquête « Protecting the organisation against the unknown ». « Dell Helps Customers Fight Back Against a new Generation of Unknown Network Threats », 21 février 2014.
* 33 « Les DSI ont tout à gagner à laisser les utilisateurs entrer dans le SI avec leur propre matériel informatique », selon Frédéric Pierresteguy, directeur général Europe du Sud de Landesk, auteur de l'étude.
* 34 « BYOD : quelles sont les bonnes pratiques ? », site internet de la CNIL, 24 mars 2019.
* 35 « Recommandations de sécurité relatives aux ordiphones », ANSSI, mai 2013.
* 36 Co-réalisé par l'OSSIR et le CLUSIF, publié le 29 janvier 2020.
* 37 « Study: Employees Unaware Of Employers BYOD Policies », Nathan Eddy.
*
38
Voir :
https://www.cesin.fr/uploads/files/2018_04_Symantec_CESIN%20Shadow%20IT%20Report%20France.pdf
* 39 Le SSO, pour « Single Sign-On », désigne un système d'authentification permettant à un utilisateur d'accéder à de nombreuses applications sans avoir à multiplier les authentifications.
* 40 « Best MDM solutions in 2021 : Mobile Device Management for BYOD policies », par David Nield , Brian Turner , dans Techradar.com, 11 mars 2021.
* 41 Également appelé attaque sans fichier (file-less) ou sans empreinte (zero-footprint), le piratage sans malware utilise généralement PowerShell sur les systèmes sous Windows pour exécuter de manière furtive des commandes visant à rechercher et exfiltrer du contenu ayant de la valeur.
* 42 Ils permettent de créer un lien direct entre des ordinateurs distants, isolant leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunication publics.
* 43 Le modèle Zero Trust, inventé par l'analyste John Kindervag en 2010.
* 44 Rapport n°502 (session ordinaire 2019-2020) du 10 juin 2020.
* 45 Dans leurs propositions conjointes : « Crise Covid-19 et relance de l'économie », mai 2020.
* 46 Selon « Threat Spotlight: Coronavirus-related phishing », Fleming Shi , 26 mars 2020
https://blog.barracuda.com/2020/03/26/threat-spotlight-coronavirus-related-phishing/