BYOB, rien de nouveau - s/OB/OD/g

On en parle énormément ces jours-ci, comme quoi c'est un énorme risque, c'est difficile à gérer, ça devient incontrôlable, il y a beaucoup d'inconnues et comme c'est nouveau, ...blah blah

Tout d'abord, ce n'est vraiment pas nouveau, seulement nouvellement reconnu comme phénomène. à cause du consumérisme et de la montée de l'accessibilité de la technologie au commun des mortels. Ces formes de BYOD existaient déjà auparavant dans le sens qu'elle mettent un système étranger en contact avec (ou depuis) les systèmes de l'organisation :

  • SSH tunneling
  • tor
  • [reverse] proxy
  • [reverse] remote control
  • Linux Live CDs
  • Tethering


Les buzzwords de l'informatique corporative deviennent populairement officialisés une fois que la problématique est populairement comprise, mais ça ne signifie en aucun cas que c'est nouveau...

Un autre problème récurrent et actuel est le "vol de temps", qui est justement causé/aidé en partie par le BYOD, pèse sur la balance, car bloquer entièrement le BYOD n'est pas une solution, ça nuit à la productivité, au trust et à l'implication envers l'entreprise. Même chose pour ce qui est du blocage de sites Web tels que Facebook, Twitter et cie. Ceux-ci ont beau être du vol de temps, mais sont très prisés de nos jours et de toute façon, s'ils ne sont pas accessible via le réseau de l'organisation, ils le seront via un téléphone intelligent ou du tethering.

Avec le consumérisme, est venu l'accessibilité à la technologie et du même coup sa popularisation.  Par la suite, étant facilement accessible et populaire, il y a bien eu plusieurs phénomènes de masse autour de ça, ce qui démontre à long terme le fait que ça ne soit pas très gérable, autant socialement, administrativement ou techniquement.  Avec un réseau cellulaire qui s'étend à peu près partout dans les grandes villes et dans la majorité des bureaux, plus besoin de dépendre des connexions réseau au travail pour faire ce qu'on veut!  Ça n'empêche pas par contre la proximité des équipements externes avec ceux ce l'entreprise.  Une telle proximité rend donc inévitable les interactions entre les 2 sortes de systèmes.  Du même coup, BYOD amène le BYOP (Problems!).

Un réseau étant déjà à risque et des politiques et mesures de sécurité normalement en place visent à réduire ce facteur de risque.  Permettre l'interaction de périphériques externes (encore plus que des clefs USB) revient à augmenter le risque de risques.  La surface de contact fait des smartphones et autres périphériques des cibles de choix, surtout s'ils sont sans-fil car il n'est pas à la portée de tout le monde de faire de la localisation de périphériques et l'étendue peut être assez surprenante...  D'autres casse-têtes potentiels sont la gestion des licences, l'accès accru à des ressources virtualisées ou cloud services tout en ayant accès à des ressources internes.

Voici des liens intéressants sur le sujet :

http://www.technologyreview.com/news/427790/ibm-faces-the-perils-of-bring-your-own-device/

http://www.lemondeducloud.fr/lire-10-evidences-que-les-informaticiens-doivent-accepter-51611.html

À tout problème, il y a des solutions à proposer...


Des politiques sévères peuvent supporter la présence de ce risque (pas une valeur) ajouté, et ce, de manière technique, afin de diminuer la gestion du facteur humain autant que possible.  Pour ajuster les dites politiques appliquées techniquement, dans certains milieux de travail, les ajuster en fonction des plages horaires pourrait être une excellente idée.  Cependant, ça démolit la base du pourquoi le BYOD a sa place (ce qu'on veut, quand on veut) et il serait mieux de porter le focus sur la segmentation du réseau (VLANs) ou une couche de communications de niveau supérieur pour les données sensibles.  Une fois l'acceptation de ce genre de politique, il est bien de tout mettre par écrit bien clairement et que les position soient bien expliquées, car il arrive trop souvent qu'un barême ne soit pas exprimé clairement et que des abus profitent de cette "faille".  Des exemples de politiques à appliquer techniquement :

  • Refuser le branchement de périphériques externes sur le réseau (nécessite du MAC whitelisting et encore, ça se contourne) ou sur les postes de travail Windows avec une GPO ou Linux/OSX via Puppet.  Notamment pour interdir les adapteurs USB/Bluetooth pour du sans-fil ou tethering non-autorisés ou des clefs USB.
  • Filtrer l'utilisation des services de cloud publics et imposer des services internes privés.
  • Utiliser le DPI, le filtrage de services/paquets/applications, des filtres anti-pourriels et antivirus en plus de listes dynamiques de sites malicieux.  Chacune de ces technologies à elle seule ne fait pas grand chose, mais ensemble, elles peuvent apporter de grands services...(...sans parler des maux de support!)
  • Obliger la possibilité de remote wipe pour tout appareil ayant accès à des informations secrètes ou confidentielles ainsi que l'obligation de l'utilisation d'un code/mot de passe respectant un niveau de complexité prédéfini et de l'encryption


C'est bien beau tout ça, mais ça coûte cher non?  Pensez aux risques potentiels...  Vous pensez toujours à sauver de l'argent?  La sécurité ça reste une science des compromis par rapport à la fonctionnalité des systèmes.  Serait-ce moins cher si vous fournissiez à chaque employé un cellulaire préconfiguré partiellement payé par la compagnie et le reste par l'employé?  Ça peut forcer le contrôle sur les ressources et l'employé peut toujours avoir ce qu,il veut...de façon raisonnable.  Dans certains milieux, des restrictions trop sévères nuiront à la productivité et en n'étant pas justifiées, elles ont moins de chances de concerner le personnel et ainsi d'être respectées...dixit le facteur humain.  Ce dernier implique tellement de suivi que ça n'en devient plus gérable, d'autant plus qu'il faut avoir un contrepoids pour "enforcer" les fautifs.

Plus ça va, plus il semble qu'on n'échappera pas d'une façon ou d'une autre au BYOD...  Les temps changent et les end-users gagnent en contrôle, veut ou veut pas et les solutions présentes sur le marché ou à venir en sont une bonne preuve...  par exemple, Ubuntu avec leurs docked smartphones remplaçant des systèmes.  Une optique essentielle à ne pas perdre de vue est la productivité des employés due aux conditions de travail apportées avec le  phénomène BYOD (le fait de les laisser faire un peu ce qu'ils veulent)), mais il y a toujours une contrepartie...pour que compromis soit égal de bord en bord!