Download - BYOD : sécurité des données

Transcript
Page 1: BYOD : sécurité des données

1

MaaS360.com > Livre blanc

Sécurité des données mobilesTrouver le bon équilibre

Page 2: BYOD : sécurité des données

2

MaaS360.com > Livre blanc

Copyright © 2013 Fiberlink Communications Corporation. Tous droits réservés.

Ce document contient des informations exclusives et confidentielles appartenant à Fiberlink. Aucune partie de ce document ne peut être utilisée, divulguée, distribuée, transmise, stockée dans un système consultable, copiée ou reproduite par quelque moyen ou sous quelque forme que ce soit, notamment par photocopie, photographie, sur un support électronique, magnétique ou autre, sans l’accord écrit préalable de Fiberlink.

Ce document est fourni à titre informatif uniquement et les données qu’il contient sont susceptibles d’être modifiées sans préavis. Merci de signaler les erreurs éventuelles à Fiberlink. Fiberlink décline toute garantie relative à ces informations et, plus spécifiquement, toute responsabilité liée à ce document.

Fiberlink, MaaS360, les logos associés et les noms de produits et services de Fiberlink sont des marques commerciales ou des marques de service de Fiberlink susceptibles d’être déposées dans certains pays. Tous les autres noms, marques, logos et symboles peuvent être des marques commerciales – déposées ou non – ou des marques de service de leurs propriétaires respectifs. L’utilisation de tout ou partie de ces éléments est réglementée par les conditions générales du Contrat.

Copyright © 2013 Fiberlink, 1787 Sentry Parkway West, Building Eighteen, Suite 200, Blue Bell, PA 19422 – États-Unis.

Tous droits réservés.

Page 3: BYOD : sécurité des données

3

MaaS360.com > Livre blanc

Sécurité des données mobiles : Trouver le bon équilibre

Table des matières

Comprendre vos objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Choisir votre approche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Faire vos choix en fonction de vos priorités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Agir en connaissance de cause . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Page 4: BYOD : sécurité des données

4

MaaS360.com > Livre blanc

Sécurité des données mobiles : Trouver le bon équilibreLes termes Prévention des fuites de données (DLP, Data Leak Prevention) et Conteneur commencent à dominer les discussions sur la gestion des données. Au cours des dernières années, de grands progrès ont été réalisés dans l’offre d’outils et de solutions assurant la gestion et la sécurité des appareils mobiles quel que soit leur propriétaire : l’entreprise ou l’employé.

Bien que ces solutions répondent aux besoins de sécurisation des appareils, les aspects sécuritaires les plus avancés, qui figurent d’office dans les déploiements réseau distribués et sur ordinateurs portables, leur font défaut. Il leur manque en particulier les contrôles DLP complets, qui sont courants dans les solutions de gestion des ordinateurs portables.

La prudence impose que vous recherchiez les moyens d’ajouter à votre solution de gestion des appareils mobiles (MDM, Mobile Device Management) des contrôles de sécurité supplémentaires, plus efficaces, pour vous aider à protéger les données confidentielles et éviter leur divulgation à des tiers non autorisés, que ce soit par accident ou par malveillance.

Comprendre vos objectifsEn recherchant une technologie adaptée, vous découvrirez différentes approches. Celles-ci présentent divers points forts et points faibles. Mais la première tâche consiste à comprendre vos objectifs. Vous devrez trouver un juste équilibre entre la tolérance par votre entreprise du risque lié à la sécurisation des données confidentielles et l’offre d’une expérience utilisateur simple et productive au fur et à mesure que vous définissez vos objectifs et le profil de votre approche. Veillez à réfléchir aux éléments suivants :

Blocage des utilisateurs internes – La stratégie de mot de passe et le cryptage des appareils n’empêcheront pas un utilisateur autorisé de copier des données. Ce contrôle relève de la prévention des fuites de données. Il est possible que votre entreprise ait déjà effectué des investissements importants dans le contrôle de la circulation des données confidentielles au-delà des périmètres matériels et logiciels des ordinateurs portables et des ordinateurs de bureau. Dans ce cas, recherchez les fonctionnalités qui étendent la prévention des fuites de données à vos déploiements d’appareils mobiles. Votre politique et vos objectifs doivent s’appliquer de la même manière à tous les terminaux de votre entreprise.

Blocage des utilisateurs externes – La communauté des fournisseurs de solutions MDM a développé des outils formidables qui protègent les données sur les appareils mobiles. L’implémentation d’un mot de passe et du cryptage, et la possibilité de nettoyer les appareils, représentent 90 % de cette stratégie. Toutefois, des difficultés significatives persistent quant à la possibilité de mettre en œuvre et de vérifier ces contrôles de manière régulière et fiable, en particulier sur les nombreuses variantes de la plate-forme Android. Cette fragmentation permet de prendre en charge la diversité des appareils quand tous ne peuvent pas être sécurisés à un niveau raisonnable.

Prise en charge d’un programme BYOD d’envergure et flexible – La diversité des appareils est un facteur essentiel de votre approche et de votre stratégie. Après tout, BYOD (Bring Your Own Device) ne signifie pas « Apportez votre propre appareil approuvé par le personnel informatique ». Cela met quelque peu à mal l’esprit d’un programme BYOD. Bien qu’une procédure et un programme de certification des appareils puissent apporter une certaine structure, un programme BYOD complètement ouvert nécessitera une assistance, du point de vue technologique, pour garantir au moins la sécurité minimale des données.

Trouvez le juste équilibre entre la

tolérance par votre entreprise du risque lié à la sécurisation

des données confidentielles et l’offre d’une

expérience utilisateur simple et

productive.

Page 5: BYOD : sécurité des données

5

MaaS360.com > Livre blanc

Dual Persona – C’est sur ce point que le débat diverge d’une pure discussion sur la sécurité à une discussion sur la fonctionnalité et le désir de prendre en charge un programme BYOD flexible. De nombreuses entreprises ne voient pas la nécessité de mettre en place de puissants contrôles DLP et n’ont donc pas de politiques dans ce sens. Elles veulent tout simplement isoler les données personnelles des utilisateurs, tout en gardant les moyens de contrôler les données de l’entreprise. Après réflexion, il est possible que le Dual Persona soit la solution appropriée pour votre entreprise compte tenu de vos objectifs. La fonction Dual Persona consiste à administrer deux environnements utilisateur indépendants, de manière à isoler les données et les expériences « professionnelles » des données et expériences « personnelles » sur les appareils mobiles.

Autres facteurs – Comme tout, les solutions ont un prix. Vous devez réfléchir à leur évolutivité, comment en faire des solutions fiables et ce qu’il vous en coûtera. Vous devez tenir compte de l’expérience des utilisateurs et vous assurer de déployer une solution qui sera acceptée et adoptée par eux. Vous vivez désormais en démocratie, et non plus dans un environnement autocratique régi par le personnel informatique, comme par le passé.

Choisir votre approcheMaintenez que vous avez quantifié votre objectif, passons en revue les approches possibles.

Conteneur – Le terme « conteneur » semble être le terme le plus courant employé pour décrire les solutions qui fournissent une zone distincte pour les applications et les données professionnelles. Le terme « sandbox » (bac à sable) est aussi employé. Vous entendrez également l’expression « Dual Persona », qui décrit ce type de solution. Toutefois, le « Dual Persona » doit être considéré comme un objectif et non une solution (en d’autres termes, l’implémentation d’une solution conteneur en vue d’obtenir une fonctionnalité « Dual Persona »).

Considérez cette approche comme une zone complètement séparée, selon le principe du « bac à sable », où ont lieu certaines activités et dans laquelle la circulation des données est confinée. Puisque toutes les activités professionnelles s’effectuent dans ce bac à sable, l’utilisateur ne pourra pas utiliser le client de messagerie natif, mais devra plutôt utiliser les fonctions de messagerie, de calendrier et de contacts fournie par le logiciel qui se trouve dans le conteneur. Cela peut provoquer quelque mécontentement des utilisateurs. Toutefois, si cette fonctionnalité est implémentée correctement, elle peut assurer une expérience utilisateur transparente. Il est important d’aider vos utilisateurs à saisir le rôle essentiel que joue la solution pour satisfaire les objectifs de l’entreprise en matière de sécurité des données.

Stripping – Solution qui intercepte le flux des messages électroniques, en retire le contenu pertinent (c.-à-d., pièces jointes, texte, etc.) et rend celui-ci disponible pour consultation et/ou manipulation dans une application distincte, où le flux des données peut être contrôlé. Pour la messagerie électronique, l’utilisateur interagit avec le client natif jusqu’à ce qu’il doive accéder à un élément qui a été retiré du flux des messages. Le contenu enlevé peut être stocké sur le serveur qui a effectué le « stripping » ou sur la terminaison mobile modifiée pour l’ouvrir exclusivement dans une application sécurisée.

Le Dual Persona consiste à

administrer deux environnements

utilisateur indépendants, de manière à isoler

les données et les expériences

« professionnelles » des données

et expériences « personnelles » sur les appareils

mobiles.

Page 6: BYOD : sécurité des données

6

MaaS360.com > Livre blanc

En cas d’utilisation d’une solution de stripping, l’expérience utilisateur peut être dissociée. L’utilisateur reçoit alors un e-mail sans texte ni pièce jointe – de nombreuses solutions ne retirent pas le texte pour cette raison – et doit lancer une autre application pour pouvoir accéder en toute sécurité au texte et aux pièces jointes.

Virtualisation – Ce terme fait en particulier référence à la technologie dans laquelle un logiciel, appelé « hyperviseur », implémente une « machine virtuelle » sur les appareils mobiles (et non sur un serveur distant). Dans ce type de solution, l’appareil virtuel est entièrement contrôlé et géré par l’entreprise. Toutes les applications et les données de l’entreprise résident dans la machine virtuelle sur les appareils mobiles, et la circulation des données entre l’appareil virtuel et l’appareil physique est soumise à un contrôle strict. Cette approche est fondamentalement identique à l’infrastructure de bureau virtuel (VDI, Virtual Desktop Infrastructure) pour les PC et les ordinateurs portables, et présente plusieurs difficultés similaires en matière de déploiement et de gestion.

Cette technologie est prometteuse étant donné que toutes les fonctions du matériel et des logiciels installés sur les appareils peuvent être virtualisées et contrôlées, y compris les fonctions matérielles et de connectivité réseau. Par exemple, la carte SIM pourrait être virtualisée et modifiée virtuellement lors de son passage d’un réseau à un autre (les opérateurs n’apprécieront pas ce cas de figure). En réalité, tant que les appareils mobiles ne prennent pas en charge la virtualisation au niveau du matériel, comme Intel VT et AMD-V sur PC, une adoption massive est un perspective encore lointaine, en particulier sur iOS.

Aucun des cas précédents – Une fois la poussière retombée, de nombreuses entreprises pourraient se retrouver dans cette situation. Si vous ne travaillez pas dans le domaine de la santé ou les services financiers, si vous n’êtes pas soumis à des réglementations PCI ou HIPAA ou si vous n’avez pas déterminé vos besoins spécifiques en matière de sécurité mobile et implémenté une stratégie de gestion des terminaux et des applications sensibles, les coûts et la complexité accrus que vos utilisateurs et votre service informatique devront supporter ne seront peut-être pas justifiés.

Faire vos choix en fonction de vos prioritésNous allons à présent déterminer vos choix en fonction de vos priorités.

Priorité – Menace interne : Si votre entreprise s’efforce essentiellement d’empêcher un utilisateur autorisé de diffuser des données confidentielles à partir d’un appareil mobile, une solution conteneur, la virtualisation ou le stripping des pièces jointes au courrier peuvent être des approches efficaces. Toutes sécurisent le texte et les pièces jointes, mais offrent des expériences fondamentalement différentes, comme décrit précédemment. (Dans le cas du stripping, veillez à choisir un produit qui retire aussi bien le texte que les pièces jointes.) Si aucune fuite de données à partir des messages n’est acceptée ou tolérée, la solution conteneur offre quelques avantages, en assurant une meilleure expérience utilisateur, et elle est moins difficile à configurer et gérer. Théoriquement, la virtualisation permet de contrer les menaces internes, mais implique des difficultés en termes d’implémentation et de gestion.

Priorité – Menace externe : Les menaces externes sont assez bien gérées si vous adoptez une approche responsable sur les appareils que vous autorisez à accéder au système de messagerie. Si vous utilisez votre solution MDM (vous en avez bien une, n’est-ce pas ?) pour restreindre les connexions aux seuls appareils approuvés prenant en charge une stratégie de mot de passe et le cryptage, et qui peuvent être nettoyés à distance, la fuite de données et les dommages consécutifs au vol ou à la perte d’un appareil sont minimes, voire nuls. Vous pouvez faire l’économie des coûts et de la complexité supplémentaires des solutions DLP si votre priorité porte sur les menaces externes. Boucher la voie par laquelle fuient les données mobiles n’est efficace que si vous avez aussi résolu les autres points posant problème.

Si votre entreprise s’efforce

essentiellement d’empêcher

un utilisateur autorisé de diffuser

des données confidentielles à

partir d’un appareil mobile, une solution

conteneur, la virtualisation ou le

stripping des pièces jointes au courrier

peuvent être des approches efficaces.

Page 7: BYOD : sécurité des données

7

MaaS360.com > Livre blanc

Priorité – Prise en charge du programme BYOD : Lors de la mise en œuvre d’un programme BYOD, la prudence impose un processus de certification des appareils et la création de la liste des appareils autorisés garantissant un niveau de sécurité de base. Si vous implémentez un tel programme, vous vous rendrez compte immédiatement qu’il existe de grandes disparités dans le niveau de prise en charge des fonctions de sécurité critiques entre les différentes variantes des systèmes Android. Dans un monde parfait, la prise en charge du BYOD impliquerait exactement que chacun puisse apporter son propre appareil, quel qu’il soit.

Une solution conteneur fournissant une zone sécurisée pour le stockage des données de l’entreprise sur les appareils non sécurisés est une alternative à la mise à niveau des appareils non certifiés ou inappropriés que les utilisateurs apportent dans le cadre du programme. Les solutions de stripping peuvent offrir un avantage similaire, à condition qu’elles prennent en charge le stripping et la sécurisation du texte et des pièces jointes des messages électroniques, et qu’elles soient configurées à cette fin. La virtualisation ne permet pas de prendre en charge de nombreux profils d’appareils BYOD, étant donné le nombre limité d’appareils capables d’exécuter un hyperviseur.

Priorité – Dual Persona : Un autre facteur majeur justifiant la mise en place d’une solution conteneur ou de stripping des pièces jointes n’est pas strictement lié à la sécurité. Au fur et à mesure que les appareils grand public prolifèrent au sein de l’entreprise, les données professionnelles et personnelles sont inévitablement amenées à coexister, en dépit des efforts déployés pour éviter cette situation. L’adoption d’une approche plus conciliante pour la gestion des données de l’entreprise sur ces appareils est également un facteur clé.

Plutôt que de vous contenter d’informer les utilisateurs que leur appareil sera complètement nettoyé en cas de perte, de vol ou de démission, vous pouvez leur donner le choix d’utiliser une solution conteneur ou de stripping. Vous pourrez ainsi nettoyer en toute sécurité les données de l’entreprise seulement, sans toucher aux données personnelles que l’utilisateur pourrait stocker sur son appareil. La solution conteneur satisfait parfaitement cet objectif et elle constitue certainement l’approche la plus acceptable pour les utilisateurs. Ceux-ci ne voient alors aucun inconvénient à séparer leurs données professionnelles de leurs données personnelles, sachant que l’équipe informatique ne touchera pas à ces dernières.

La solution de stripping n’est pas la mieux adaptée pour assurer le « Dual Persona », car il n’y a pas de séparation claire entre les données professionnelles et personnelles, puisque le client de messagerie natif est toujours utilisé aussi bien pour les activités personnelles que pour les activités professionnelles.

La virtualisation est aussi prometteuse dans ce contexte, mais elle prend en charge un nombre si limité d’appareils qu’elle n’apparaît pas comme une solution pratique à ce stade pour le BYOD.

Agir en connaissance de causeEn résumé, agissez en connaissance de cause. Cernez bien vos objectifs, vos utilisateurs et les technologies disponibles ainsi que leur impact sur votre environnement et les utilisateurs. Et surtout, informez-vous avant d’écouter le discours du vendeur. Lorsque vous interagissez avec les vendeurs et testez leurs solutions, recherchez celles qui s’adapteront aux mutations rapides de l’environnement mobile et réévaluez régulièrement vos objectifs.

Une solution conteneur

fournissant une zone sécurisée pour le

stockage des données de l’entreprise

sur les appareils non sécurisés est une alternative à la mise à niveau

des appareils non certifiés ou

inappropriés que les utilisateurs

apportent dans le cadre du programme.

Toutes les marques, ainsi que les produits correspondants, citées dans ce document sont des marques commerciales – déposées ou non – détenues par leurs propriétaires respectifs et elles doivent être considérées comme telles.

WP_201304_0046

Pour plus d’informationsPour en savoir plus sur nos technologies et services, visitez le site www.maaS360.com.1787 Sentry Parkway West, Building 18, Suite 200 | Blue Bell, PA 19422Téléphone 215.664.1600 | Fax 215.664.1601 | [email protected]