Naviguer dans un paysage de cybersécurité en continuelle évolution
Au sein de notre nouvelle ère numérique où la technologie informatique est aussi omniprésente que l’air que nous respirons chaque jour, la mise en œuvre des pratiques d’entreprise Apporter Votre Appareil Personnel (AVAP) est passée d’un concept futuriste à une réalité quotidienne pour 82 % des entreprises1. AVAP est une pratique d’entreprise en pleine augmentation permettant aux employés d’utiliser leurs appareils personnels – tels que les téléphones intelligents, les ordinateurs portables et les tablettes – à des fins professionnelles.
Cette approche fait partie d’une tendance plus généralisée connue sous le nom de consumérisation de l’informatique, dans laquelle l’intégration des technologies personnelles et professionnelles reflète l’évolution des attitudes à l’égard des milieux de travail traditionnels.L’industrie de la téléphonie mobile et le milieu de travail sont les deux principaux contextes dans lesquels AVAP est utilisé. Dans l’industrie de la téléphonie mobile, AVAP désigne des convoyeurs permettant aux clients d’activer leur téléphone ou autre appareil cellulaire existant sur le réseau, plutôt que d’être obligés d’acheter un nouvel appareil du convoyeur. En milieu de travail, AVAP fait référence à une politique autorisant les salariés à apporter au travail des appareils personnels – par exemple : des ordinateurs portables, tablettes, téléphones intelligents, etc. – et à les utiliser pour accéder aux informations et applications privilégiées par l’entreprise2.
Néanmoins, parallèlement à la liberté qu’il favorise, AVAP ouvre la boîte de Pandore des problèmes relatifs à la cybersécurité. Imaginez le scénario suivant : le téléphone intelligent d’un seul employé, agissant comme un cheval de Troie, expose la confidentialité des données de toute une entreprise. Cette situation s’est produite en septembre 2023 pour Rightway Healthcare, un service médical qu’Okta inc. – une société américaine de gestion des identités et des accès – située à San Francisco, utilise pour aider les employés et les personnes à leur charge à trouver des prestataires de soins de santé et des tarifs de régimes de soins de santé. Un malfaiteur non identifié a accédé au réseau de Rightway Healthcare et il s’est emparé d’un fichier de recensement d’admissibilité que le fournisseur tenait au nom d’Okta inc. Conséquemment à une telle intrusion dans le réseau informatique, 5 000 dossiers de santé ont été divulgués3. Aussi alarmant que cela puisse paraître, un tel scénario est évitable grâce aux bonnes mesures de cybersécurité. Que vous soyez une jeune entreprise en pleine croissance ou une entreprise établie, comprendre comment naviguer dans ces eaux turbulentes n’est pas seulement un enjeu informatique : c’est un impératif économique. Voilà pourquoi naviguer dans le paysage changeant de la cybersécurité parallèlement aux réalités du milieu de travail AVAP est le sujet de notre Infolettre pour le mois d’avril 2024.
[1] Cybersecurity Insiders. 2021 BYOD Security Report – https://pages.bitglass.com/rs/418-ZAL-815/images/CDFY21Q2BYOD2021.pdf
[2] Fortinet Glossary – https://www.fortinet.com/resources/cyberglossary/byod
[3] Ars Technica – https://arstechnica.com/security/2023/11/okta-hit-by-another-breach-this-one-stealing-employee-data-from-3rd-party-vendor/
Adaptation aux changements du milieu de travail : comprendre l’évolution et la popularité AVAP
Le monde de l’entreprise est en continuelle transformation et la flexibilité est devenue le sceau des pratiques d’affaires modernes. AVAP signale une transition du milieu de travail vers une telle flexibilité, mais beaucoup sont encore en train de rattraper leur retard lorsqu’il s’agit de comprendre les implications de cette tendance sur la cybersécurité. Qu’est-ce qui sous-tend l’évolution AVAP et pourquoi les politiques AVAP gagnent-elles en popularité ?
Évoluant simultanément avec la numérisation des pratiques dans le monde des affaires, les politiques AVAP ont été adoptées par de nombreuses entreprises, car elles facilitent l’accès aux informations pour les employés en déplacement et elles améliorent la productivité – deux avantages précieux. Par ailleurs, les politiques AVAP ont gagné du terrain alors que les employés aspirent à la commodité d’utiliser leurs appareils personnels pour des tâches reliées au travail. Cette évolution témoigne de la demande de souplesse et de flexibilité en milieu de travail – ce qui représente une réponse aux frontières toujours plus floues entre vie professionnelle et vie personnelle. La popularité AVAP repose sur son potentiel à accroître la productivité et la satisfaction des employés.
Toutefois, sans stratégies de cybersécurité adéquates et sans connaissance des avantages et des inconvénients AVAP, de nombreuses organisations peuvent devenir vulnérables à des cyberincidents inattendus. AVAP peut également présenter des risques pour les employeurs qui ignorent ses conséquences positives et négatives. Par conséquent, examinons quelques avantages et inconvénients d’une culture AVAP1.
[1] Optimus Learning Services – https://www.optimuslearningservices.com/practical-ld/advantages-disadvantages-byod-in-learning
Avantages d’une culture AVAP
Les atouts énumérés ci-dessous sont, entre autres, quelques-uns des avantages d’adopter la pratique AVAP:
- Elle permet aux employés d’utiliser leurs propres appareils : l’un des plus grands avantages d’une politique AVAP est qu’elle permet aux employés d’utiliser leurs propres appareils plutôt que de devoir les faire fournir par l’entreprise. Cela peut être utile dans de nombreuses situations différentes, notamment en permettant aux employés de travailler à domicile et en leur offrant de la flexibilité.
- Elle permet aux employés de travailler à domicile : un autre avantage d’utiliser votre propre appareil est qu’il vous permet de travailler à domicile si c’est nécessaire ou souhaité par les deux parties (vous et votre patron). Les employeurs peuvent également choisir s’ils souhaitent ou non un espace de bureau, dans l’éventualité où tous les employés suivent la politique AVAP.
- Elle peut aider à réduire les coûts : l’un des plus grands avantages d’une politique AVAP est qu’elle peut contribuer à réduire les coûts pour les employeurs. Plutôt que d’avoir à acheter des appareils et des licences logicielles coûteux, les employés peuvent utiliser les équipements et logiciels qu’ils possèdent déjà. Cela réduit également le temps consacré pour configurer chaque appareil.
- Elle permet aux employés d’être plus productifs : un autre avantage est que les employés qui possèdent leur propre appareil ont tendance à être plus productifs que ceux qui n’en ont pas. Lorsque vous disposez d’un appareil particulièrement conçu pour le travail et des outils dont vous avez besoin pour faire votre travail, il est plus facile de rester concentré sur vos tâches.
- Elle donne plus de flexibilité aux employés : une politique AVAP peut également offrir aux employés plus de flexibilité dans leur journée de travail. Plutôt que d’être limités par les heures de bureau, ils peuvent accéder aux fichiers à tout moment et en tout lieu.
Inconvénients d’une culture AVAP
Les problèmes décrits ci-dessous sont, entre autres, quelques inconvénients relatifs à l’utilisation de la pratique AVAP :
- Elle peut parfois être coûteuse pour les entreprises : le plus gros inconvénient de la pratique AVAP est qu’elle peut parfois coûter beaucoup plus cher aux entreprises que les politiques traditionnelles. Lorsque les employés disposent de leurs propres appareils, ils ne sont pas obligés d’en acheter un avec les fonds de l’entreprise. Cela signifie que les entreprises doivent payer pour le soutien technique en cas de problème. Les employeurs peuvent devoir acheter de véritables licences de logiciels si les appareils des employés ne disposent pas du logiciel requis pour effectuer leurs tâches.
- Elle peut entraîner des pertes de données et des failles de cybersécurité : si une entreprise n’a pas de contrôle sur les appareils que les employés utilisent, elle peut être exposée à des actes de malveillance ou à d’autres formes de logiciels malveillants. Les employés pourraient également perdre leurs appareils, ce qui entraînerait la perte de fichiers et d’informations confidentielles.
- Elle peut entraîner une atteinte à la vie privée : dans certains cas, l’employeur peut demander l’accès à l’appareil afin de s’assurer qu’il est utilisé correctement. Cela pourrait entraîner une atteinte à la vie privée et conduire à une discrimination à l’égard de certains employés.
- Elle peut être difficile à gérer : si les employeurs n’ont pas de contrôle sur les appareils, ils peuvent avoir des difficultés à les gérer. Cela pourrait entraîner une perte de productivité en raison du manque de contrôles de sécurité et d’outils de gestion efficaces.
- Elle peut résulter à un manque d’uniformité des appareils : un inconvénient majeur du modèle AVAP est la diversité des appareils utilisés pour le travail de bureau. Par exemple, certains employés préféreront peut-être une tablette et un ordinateur portable Windows, tandis que d’autres ne se sentiront à l’aise qu’avec un iPad et un MacBook. En outre, certains peuvent continuer à mettre à jour leurs appareils intelligents tous les 2 à 3 ans, tandis que d’autres peuvent utiliser le même appareil pendant de nombreuses années. Avoir plusieurs appareils peut occasionner des problèmes de fonctionnement et de compatibilité avec les logiciels d’une entreprise.
Culture AVAP
Avantages
Elle permet aux employés d’utiliser leurs propres appareils.
Elle autorise les employés de travailler à domicile.
Elle peut aider à réduire les coûts opérationnels.
Elle permet aux employés d’être plus productifs.
Elle donne aux employés plus de flexibilité.
Inconvénients
Elle peut parfois coûter cher aux entreprises.
Elle peut entraîner une perte de données et des failles de cybersécurité.
Elle peut constituer une atteinte à la vie privée.
Elle peut être difficile à gérer.
Elle entraîne un manque d’uniformité dans les appareils.
Cependant, pour ce qui a trait aux avantages et aux inconvénients susmentionnés, il n’y a pas lieu d’avoir peur. Grâce aux bonnes précautions et aux meilleures pratiques de sécurité AVAP adéquates expliquées dans les paragraphes suivants, la productivité et la protection sont à la portée d’une entreprise.
Meilleures pratiques de sécurité AVAP pour les entreprises
Pour atténuer les risques et protéger votre entreprise dans un environnement AVAP, la compréhension et la mise en œuvre des meilleures pratiques ne sont pas négociables. Il s’agit de prendre des décisions éclairées et proactives pour garantir que la sécurité des données de votre entreprise ne soit jamais compromise par la commodité des appareils personnels. En termes d’inspection fondamentale, de sécurité et de mise en application de l’expertise informatique, voici quelques bonnes pratiques AVAP qui renforcent la posture de cybersécurité d’une entreprise1 :
1. Communiquez les politiques AVAP sous formes écrites
Mettez par écrit vos politiques de sécurité AVAP. Les politiques d’utilisation acceptables sont une évidence pour les appareils appartenant à l’entreprise et elles devraient également l’être pour les appareils personnels qui accèdent aux ressources de l’entreprise. Il est probable que la plupart des organisations ont déjà mis en place des politiques AVAP formelles, mais si vous n’avez pas de telles politiques écrites, la vôtre doit inclure des critères de base tels que les appareils autorisés, leurs exigences de sécurité, le contrôle accordé au service informatique sur ces appareils, et une ligne directrice générale expliquant la manière dont les appareils personnels doivent être utilisés.
2. Fournissez continuellement une formation de sensibilisation à la sécurité
La formation de sensibilisation à la sécurité est une bonne pratique normative de sécurité AVAP qui contribue grandement à atténuer les risques tels que l’hameçonnage, les logiciels malveillants et même les menaces de sécurité physique. Mettez en œuvre régulièrement des formations de sensibilisation à la sécurité, principalement autour de la prévention de la falsification des comptes ou des fuites de données. Cela inclut le piratage psychologique comme le harponnage et l’utilisation appropriée d’applications comme ChatGPT.
3. Renforcez la sécurité des comptes et des appareils
Encouragez l’utilisation de plusieurs mots de passe, en accordant une attention particulière à l’élimination de l’utilisation d’un seul mot de passe dans les applications personnelles et d’entreprise.
Et tout aussi important, informez les utilisateurs sur les risques pour la sécurité physique reliés à l’utilisation d’appareils personnels à des fins professionnelles. Il s’agit notamment de perdre un appareil, de laisser un ordinateur portable ouvert et déverrouillé pendant que d’autres personnes sont dans la pièce, ou même de permettre à quelqu’un de voir facilement des informations confidentielles par-dessus votre épaule, ou par un seul coup d’œil furtif.
4. Intégrez le principe Vérification Systématique
L’une des meilleures pratiques de sécurité AVAP les plus importantes consiste à intégrer le principe Vérification Systématique selon lequel chaque action doit être vérifiée et autorisée à chaque fois. Il s’agit d’un moyen efficace de minimiser les mouvements latéraux en cas de compromission de compte et il excelle dans la simplification de l’accès sécurisé aux applications infonuagiques, Web et privées. Envisagez d’adopter des technologies de sécurité qui vous permettent de mettre en œuvre le principe du moindre privilège afin que les employés, au moyen de n’importe quel appareil, n’aient accès qu’aux outils dont ils ont besoin pour faire leur travail. Accès Réseau avec Vérification Systématique (ARVS) et Accès Web avec Vérification Systématique (AWVS) sont de bons points de départ.
5. Mettez en œuvre des contrôles stricts de sécurité des données
Arrêtez le vol et l’exfiltration de données. Intégrez des solutions solides de sécurité des données qui vous permettent de découvrir, classer, hiérarchiser, protéger et surveiller les interactions avec les données. Éventuellement, les organisations dotées de stratégies avancées de sécurité des données peuvent introduire une protection adaptative aux risques pour ajuster automatiquement les politiques en fonction du contexte et du comportement des utilisateurs afin d’arrêter les cybermenaces.
6. Prévenez les cybermenaces de logiciels malveillants
Prévenez et ne vous contentez pas de détecter les cybermenaces de logiciels malveillants. La prévention des risques est la clef des enjeux lorsqu’il s’agit des meilleures pratiques de sécurité AVAP. C’est pourquoi il est important de privilégier des solutions de sécurité qui préviennent les cybermenaces avant qu’elles n’aient une chance de frapper, plutôt que des outils qui agissent après la détection d’une cybermenace.
La Localisation du Navigateur à Distance (LND), et le Désarmement et la Reconstruction du Contenu avec Vérification Systématique (DRCVS) en sont deux excellents exemples. LND restitue tous les sites Web dans un conteneur sécurisé, permettant aux utilisateurs d’interagir avec eux comme d’habitude, même s’ils hébergent du contenu malveillant. DRCVS empêche les fichiers de lancer des attaques connues ou inconnues en recréant des documents avec les informations vérifiées qu’il extrait. Fusionnées avec Passerelle Web Sécurisée (PWS), les trois technologies se combinent pour fournir un Accès Web avec Vérification Systématique (AWVS).
7. Obtenez une visibilité dans le contexte de vos appareils
Le Réseau Étendu Défini par Logiciel (REDL) fournit aux organisations une mine d’analyses de sécurité sur ce qui se passe à travers leur réseau. Grâce au REDL, les entreprises peuvent utiliser un Agent de Contexte Point de Terminaison (ACPT) pour mieux comprendre les appareils et les utilisateurs qui accèdent à leur réseau. Déployable sur les appareils finaux, il offre une visibilité granulaire du trafic et des informations sur l’utilisateur, l’appareil et l’application utilisée pour mieux détecter et prévenir les menaces.
8. Sécurisez les données partout où elles circulent
Faites progresser la sécurité des données partout. L’application et le maintien de politiques de sécurité des données pour toutes les différentes méthodes d’accès aux données ne font qu’ajouter encore plus de complexité aux politiques AVAP. La sécurité des données partout simplifie la sécurité AVAP. Définissez des politiques une fois dans Prévention de la Perte de Données (PPD) et étendez-les de manière transparente à Courtier en Sécurité d’Accès Infonuagique (CSAI), Accès Réseau avec Vérification Systématique (ARVS), Accès Web avec Vérification Systématique (AWVS), ou Passerelle Web Sécurisée (PWS) pour étendre la même protection envers les applications infonuagiques, Web, courriel, point de terminaison, réseau, et les applications privées.
[1] Bryan Arnott, Senior Content Marketer & Digital Strategist at Forcepoint LLC Nine (9) BYOD Security Best Practices You Need to Know, 3rd November 2023. https://www.forcepoint.com/blog/insights/byod-security-best-practices
Quels sont les éléments essentiels d’une politique AVAP sécurisée à l’égard des PME?
Pour développer une politique AVAP robuste, les PME doivent déterminer une utilisation acceptable, appliquer des mesures de sécurité et fournir une formation à toutes les parties concernées. Les données de l’entreprise doivent être segmentées, cryptées et gérables à distance afin de minimiser les risques même si un appareil tombe entre de mauvaises mains. Assurez-vous que chaque employé comprend son rôle dans le maintien des protocoles de cybersécurité : il s’agit sans aucun doute d’un effort collectif sans aucune ambiguïté. À cet égard, la Rogers Cybersecure Catalyst, sous l’égide de la Toronto Metropolitan University, fournit un échantillon gratuit d’une politique AVAP que les PME peuvent personnaliser pour leurs propres besoins1. Pour la commodité des PME, les différentes sections de cet exemple gratuit de politique AVAP sont notamment : (1) Résumé de la politique et objectif, (2) Portée de la politique, (3) Utilisation responsable, (4) Droits organisationnels, (5) Risques/responsabilités/avertissements.
De plus, Rogers Cybersecure Catalyst propose également, en téléchargement gratuit, un manuel très utile et pratique intitulé 10 Steps to an Effective Cybersecurity Program: For Small and Medium-Sized Businesses2, couvrant des problèmes de cybersécurité comme l’hameçonnage, les rançongiciels, les falsifications de courrier électronique, les mots de passe, et les menaces internes.
[1] Toronto Metropolitan University, Rogers Cybersecure Catalyst – https://simply-secure.ca Free sample of BYOD Policy – https://simply-secure.ca/wp-content/uploads/2020/08/Sample-BYOD-Policy.pdf
[2] Toronto Metropolitan University, Rogers Cybersecure Catalyst –10 Steps to an Effective Cybersecurity Program: For Small and Medium-Sized Businesses, 44 pages. Free download available at: https://simply-secure.ca/wp-content/uploads/2021/02/RCC_SMB_Handbook_10stepsEffectiveCybersecurityProgram_Final.pdf
Quelles sont les solutions des technologiques informatiques pour prendre en charge la sécurité AVAP?
Profiter efficacement des technologies informatiques est vital. La mise en œuvre de solutions de Gestion des Appareils Mobiles (GAM) et de Gestion des Applications Mobiles (GAPPM) permet aux entreprises de surveiller et de contrôler quels appareils et applications peuvent accéder aux données de l’entreprise. Parallèlement, l’utilisation de Réseaux Privés Virtuels (RPV) et la mise à jour régulière des logiciels constituent une défense remarquable contre les cybermenaces.
La protection des données de l’entreprise dans un environnement AVAP va au-delà de la simple élaboration de politiques. Les technologies informatiques de pointe sont un allié puissant dans cette bataille et, en partenariat avec un personnel informé et bien formé, elles constituent un bouclier efficace contre les cybermalveillances les plus inventives. En intégrant les meilleures pratiques de sécurité AVAP pour les entreprises, votre organisation peut non seulement promouvoir la flexibilité et l’efficacité, mais elle peut également garantir un environnement opérationnel résilient et sécurisé. Comprendre le lien entre AVAP et cybersécurité est essentiel pour orienter votre entreprise vers un avenir prometteur et protégé au sein de notre monde numérique interconnecté.
Examinons maintenant quelques cybermenaces courantes dans les scénarios AVAP.
Cybermenaces courantes dans les scénarios AVAP
La pratique consistant à autoriser AVAP ouvre la porte à diverses menaces de cybersécurité qui se résument comme suit1 :
1. Applications non autorisées : les applications non autorisées installées dans un appareil peuvent entraîner des problèmes de sécurité, car l’intégrité, la disponibilité et la confidentialité des renseignements et des systèmes de l’organisation sont menacées. Les acteurs malveillants peuvent utiliser des applications à des fins malveillantes et potentiellement accéder à l’emplacement de l’appareil, aux paramètres réseaux, aux fichiers, aux applications et aux données stockées sur l’appareil. Les logiciels malveillants cryptographiques peuvent également nuire à la disponibilité et à l’intégrité des données.
2. Fuites de données : les appareils AVAP ouvrent potentiellement la porte au partage ou à la fuite de données confidentielles ou privées d’une manière qui ne serait pas possible si les employés utilisaient des appareils fournis par l’entreprise. Les applications et les comptes de réseaux sociaux sont souvent installés et configurés sur des appareils personnels et vous permettent de partager rapidement et publiquement du texte, des images, du contenu audio et vidéo.
Les appareils personnels ne sont pas aussi sécurisés que les appareils fournis par l’entreprise. Les appareils personnels permettent aux utilisateurs d’accéder à une variété d’applications et de sites Web qui ne seraient probablement pas autorisés sur un appareil fourni par l’entreprise. L’accès à certaines de ces applications et sites Web peut exposer votre organisation à des risques supplémentaires, par exemple en fournissant aux acteurs malveillants des vecteurs supplémentaires à exploiter et à accéder à vos systèmes et réseaux d’entreprise. Les appareils AVAP sont une cible pour les malfaiteurs, car ces appareils stockent une grande quantité de données et fournissent un point d’entrée aux systèmes et réseaux d’entreprise connectés. Les appareils AVAP peuvent être plus vulnérables aux atteintes à la vie privée que les appareils d’entreprise qui ne contiennent pas d’informations personnelles. Les acteurs malveillants peuvent voler vos données pour les vendre ou les conserver contre une rançon.
Les utilisateurs peuvent également se connecter plus souvent à des réseaux sans fil Wi-Fi non sécurisés avec leurs appareils personnels. Souvent, une fois que vous avez connecté votre appareil à ces réseaux, il se reconnectera automatiquement dans l’avenir. Les utilisateurs peuvent également télécharger et stocker de grandes quantités de données hors ligne pour éviter d’attendre ou de dépasser leurs allocations de bande passante. Étant donné que l’appareil dispose de moins de contrôles que l’infrastructure de votre organisation, le risque de fuite de données est augmenté.
3. Problèmes de confidentialité : grâce à la capacité de la plupart des logiciels de Gestion des Appareils Mobiles (GAM) et de Gestion Unifiée des Points de Terminaison (GUPT) à permettre des informations approfondies sur l’environnement utilisateur dans l’appareil AVAP, les informations personnelles (par exemple, les courriels, les renseignements personnels stockés dans les applications et les fichiers, la localisation et d’autres aspects de l’identité d’un utilisateur) peuvent être consultés accidentellement ou de manière malveillante. Les employés peuvent hésiter à fournir une visibilité organisationnelle sur leur appareil. Étant donné que vous disposez de capacités limitées pour surveiller ou détecter les menaces, cela amplifie la surface d’attaque.
4. Partage d’appareils : les appareils personnels peuvent être partagés avec les membres de la famille et les amis. Cela peut provoquer des fuites accidentelles d’informations et compromettre l’intégrité de toutes les données stockées dans l’appareil.
5. Débridage des appareils : les appareils personnels sont parfois « débridés ». Cela signifie que certaines des autorisations de sécurité normales sont supprimées, donnant ainsi aux utilisateurs et aux applications un meilleur accès au système d’exploitation principal. Ces appareils sont plus susceptibles de contourner les contrôles de sécurité mis en œuvre par votre organisation et d’exposer vos données, votre réseau et vos applications à un risque accru.
Pour réduire ce risque, vous devez interdire tout appareil qui a été modifié au-delà de son utilisation et de ses autorisations prévues. Il est également important de définir quelles données d’entreprise sont autorisées dans un appareil utilisé à des fins AVAP au moyen des politiques et de la conscientisation par l’éducation. Vos politiques et formations doivent fournir aux employés des conseils concernant l’utilisation appropriée (par exemple : quelles activités personnelles sont autorisées via l’appareil), la protection des données et les mesures de sécurité pour leurs appareils.
6. Manque de correctifs de sécurité et de mises à jour : si votre organisation met en œuvre un modèle AVAP, cela peut limiter votre capacité à approvisionner et à mettre à jour les systèmes d’exploitation, les applications et les ordinateurs de bureau. Une méthode que votre organisation peut utiliser pour garantir la fourniture de nouvelles mises à jour de sécurité consiste à autoriser uniquement les appareils approuvés qui répondent aux exigences de conformité de l’organisation (corrigées et pris en charge par le fabricant) à avoir un accès AVAP.
[1] Centre canadien pour la cybersécurité, Sécurité des appareils des utilisateurs finaux pour les modèles de déploiement AVAP – https://www.cyber.gc.ca/fr/orientation/securite-des-appareils-des-utilisateurs-finaux-pour-les-modeles-de-deploiement-prenez
Quels sont les éléments fondamentaux d’une politique AVAP robuste?
Une politique AVAP solide est la clef de voûte des efforts visant à garantir un environnement d’entreprise sécuritaire. Elle doit clairement décrire les composantes élémentaires ci-dessous :
- Attentes de l’entreprise.
- Utilisation autorisée.
- Exigences de sécurité pour les employés qui choisissent d’utiliser AVAP.
- Délimitation des types d’appareils autorisés.
- Protocoles de cybersécurité qui doivent être respectés.
- Séparation des données personnelles et des données professionnelles.
- Conformité aux normes.
- Responsabilité des employés.
- Des directives claires sur les droits de l’entreprise d’accéder, de surveiller, de gérer et d’effacer les données de l’entreprise sur les appareils personnels.
Comment renforcer la sécurité sans sacrifier la vie privée des employés ?
La protection des données de l’entreprise dans un milieu de travail AVAP exige un équilibre délicat entre des mesures de sécurité strictes et le respect de la vie privée des employés. Il est impératif que les mesures de sécurité telles que les capacités d’effacement des données à distance, le suivi de localisation et les logiciels de surveillance soient mises en œuvre avec une stratégie de communication claire qui informe les employés de leurs droits et de l’intention de ces protocoles. Garantir la transparence des politiques favorise la confiance et la coopération – deux exigences fondamentales pour une gestion réussie de la sécurité AVAP.
Comment concilier flexibilité et contrôle ?
La flexibilité du contrôle est un aspect paradoxal, mais crucial de la sécurité AVAP. Même si les employés apprécient la flexibilité d’utiliser leurs propres appareils, les entreprises doivent conserver un certain degré de contrôle pour protéger les données confidentielles. Cela inclut le contrôle de l’accès au réseau d’entreprise, l’établissement de restrictions sur les types de données d’entreprise pouvant être stockées dans les appareils personnels, et la définition des critères régissant la robustesse des mots de passe et la solidité du cryptage des appareils. Trouver un équilibre ici est la clef d’une stratégie AVAP robuste.
Pourquoi un appareil devrait-il être enregistré et les systèmes devraient-ils être gérés afin de mettre en œuvre les protocoles de sécurité AVAP ?
Une étape indispensable pour renforcer la sécurité AVAP consiste à mettre en œuvre l’enregistrement des appareils et la gestion des systèmes. De tels systèmes garantissent que seuls les appareils autorisés peuvent accéder aux données et aux ressources de l’entreprise. Ils aident les services informatiques à tenir un inventaire des appareils connectés, leur permettant de surveiller toute irrégularité et de répondre rapidement aux cybermenaces potentielles.
Par exemple, dans l’environnement Microsoft 365 ou Google Workspace, il est important que les utilisateurs installent Microsoft 365 Apps ou Google Apps au lieu d’utiliser des applications génériques.
En utilisant de telles applications, vous pouvez garantir une séparation claire entre les données d’entreprise (par exemple : courriels professionnels, documents et outils de collaboration) et les données personnelles. Cette séparation est décisive pour maintenir la sécurité et la confidentialité. Les données d’entreprise restent dans les limites de l’environnement Microsoft 365 ou de Google Workspace, réduisant ainsi le risque de fuite accidentelle ou d’accès non autorisé. En cas de nécessité, cela permet à l’organisation d’effacer ces informations dans l’appareil en question.
Pourquoi le cryptage et l’accès sécurisé doivent-ils être utilisés dans un milieu de travail AVAP?
On ne saurait trop insister sur la nécessité d’utiliser des protocoles de cryptage et d’accès sécurisé dans un environnement AVAP. Le cryptage agit comme une protection pour les données en transit et au repos, les rendant indéchiffrables pour les intrus non autorisés. Les mécanismes d’accès sécurisés tels que les Réseaux Privés Virtuels (RPV) ou les connexions sans fil Wi-Fi sécurisées sont tout aussi importants pour protéger les données lorsqu’elles transitent de l’appareil personnel vers le réseau de l’entreprise.
Quelle est l’importance des mises à jour logicielles régulières et des correctifs de sécurité?
Garder les logiciels à jour avec les derniers correctifs de sécurité constitue une défense simple, mais efficace contre de nombreuses cybermenaces. Encourager, voire imposer des mises à jour régulières pour tous les appareils participant au programme AVAP, peut réduire considérablement le risque d’exploitation des vulnérabilités par des attaquants.
Quel est l’avantage de mener des évaluations des risques et des vérifications dans le cadre de sécurité AVAP ?
La réalisation régulière d’évaluations des risques et des vérifications est essentielle pour évaluer l’efficacité du cadre de sécurité AVAP. Ces pratiques identifient les faiblesses potentielles du système et elles aident à développer des stratégies pour atténuer ces risques, notamment en vérifiant la conformité aux politiques et en détectant tout accès non autorisé ou tentative d’exfiltration de données.
Pourquoi est-il important de former les employés à la cybersécurité en les sensibilisant aux meilleures pratiques AVAP?
Éduquer les employés sur l’importance de la sensibilisation à la cybersécurité est un élément essentiel d’une culture AVAP sécurisée. La formation doit inclure des conseils sur l’identification et la prévention des attaques malveillantes, la reconnaissance des tentatives d’hameçonnage et le respect des protocoles appropriés pour signaler les incidents de sécurité. Un personnel bien informé constitue la première ligne de défense pour protéger une organisation contre les cybermenaces.
Élaboration d’un Plan d’intervention face aux incidents de cybersécurité : modèle à remplir fourni par le gouvernement du Canada
Face à une faille de cybersécurité, un Plan d’intervention face aux incidents clairement défini est inestimable. Il doit englober les mesures à prendre par les employés et l’équipe informatique, depuis le confinement et l’éradication immédiats des menaces jusqu’à l’analyse post-incident. La mise en place d’une procédure structurée garantit une résolution rapide et efficace, minimisant les dommages potentiels. Dans ce contexte, le gouvernement du Canada – par l’intermédiaire du ministère de l’Innovation, des Sciences et du Développement économique Canada – fournit un modèle à remplir pour le Plan d’intervention face aux incidents qui peut être personnalisé en fonction des besoins de votre organisation1.
[1] Gouvernement du Canada : ministère de l’Innovation, des Sciences et du Développement économique Canada, Élaborer un Plan d’intervention en cas d’incident : modèle à remplir et exemple – https://ised-isde.canada.ca/site/cybersecuritaire-canada/fr/french/elaborer-plan-dintervention-cas-dincident-modele-remplir-exemple
Profitez de la technologie pour une protection améliorée : avantages du logiciel de Gestion des Appareils Mobiles (GAM)
Le déploiement de logiciels de Gestion des Appareils Mobiles (GAM) est une méthode de plus en plus populaire pour améliorer la sécurité AVAP. Les solutions GAM fournissent une plate-forme centralisée pour surveiller et gérer tous les appareils personnels au sein du réseau d’entreprise. En appliquant des politiques de sécurité, en effaçant à distance les données des appareils perdus ou volés et en gérant l’utilisation des applications, le logiciel GAM s’avère être un atout inestimable dans la protection des données d’entreprise.
Le rôle des Réseaux Privés Virtuels (RPV) dans la sécurité AVAP
Les Réseaux Privés Virtuels (RPV) jouent un rôle primordial dans l’établissement de communications sécurisées entre les appareils personnels et les réseaux d’entreprise. En créant un tunnel crypté pour le déplacement des données, les RPV garantissent que les renseignements confidentiels restent confidentiels et imperméables à l’interception ou à la falsification. Lors de la connexion à Microsoft 365 ou à Google Workspace, vous n’avez généralement pas besoin d’un RPV puisque des applications comme Outlook, OneDrive, Gmail se connectent directement aux serveurs infonuagiques via des connexions HTTPS sécurisées. Il peut y avoir des scénarios particuliers dans lesquels une telle connexion est bénéfique, notamment :
- Le travail à distance : si vous travaillez à partir d’un réseau sans fil Wi-Fi public non sécurisé, l’utilisation d’un RPV ajoute une couche de sécurité supplémentaire.
- Les restrictions géographiques : certains pays ou réseaux peuvent restreindre l’accès aux services Microsoft 365. Dans de tels cas, un RPV peut vous aider à contourner ces restrictions.
AMF comme élément de sécurité indispensable pour le cadre AVAP
L’authentification multifacteur (AMF) est une autre couche de sécurité indispensable qui doit être intégrée au cadre AVAP. L’AMF exige que tous les employés fournissent au moins deux facteurs de vérification pour accéder aux ressources de l’entreprise, ce qui réduit considérablement la probabilité d’accès non autorisé en raison d’informations d’identification compromises.
Importance d’une surveillance continuelle de la cybersécurité
Une surveillance continuelle de la cybersécurité est impérative pour une détection précoce des anomalies et des violations potentielles. En examinant systématiquement l’activité du système et les journaux d’accès, les entreprises peuvent rapidement identifier et traiter les menaces avant qu’elles ne dégénèrent en cyberincidents plus graves.
Mettez à jour les politiques AVAP pour refléter les menaces et technologies émergentes
Le paysage de la cybersécurité est en perpétuelle mutation, ce qui nécessite des mises à jour régulières des politiques AVAP. À mesure que de nouvelles menaces émergent et que de nouvelles technologies sont adoptées, les politiques doivent s’adapter pour englober ces changements, garantissant ainsi que la posture de sécurité de l’organisation reste solide et proactive.
Favorisez une culture d’entreprise de cybersécurité AVAP en créant un modèle de responsabilité partagée
Le développement d’un modèle de responsabilité partagée dans lequel l’employeur et l’employé sont responsables du respect des meilleures pratiques en matière de cybersécurité est essentiel pour un environnement AVAP réussi. Cette approche collective renforce l’idée que la sécurité n’est pas seulement un enjeu informatique, mais un engagement à l’échelle de l’entreprise.
Encouragez la communication et les commentaires continuels
Une culture de cybersécurité robuste est renforcée lorsque des boucles continuelles de communication et de rétroaction sont établies. Encourager le dialogue entre les employés, le personnel informatique et la direction favorise la transparence et permet d’agir rapidement lorsque des problèmes de sécurité surviennent. Une telle approche contribue à garantir que les mesures de sécurité restent pratiques, efficaces et alignées sur les besoins de toutes les parties prenantes, créant ainsi un environnement dans lequel la cybersécurité est ancrée dans la philosophie organisationnelle.
Conclusion
De nos jours, au sein de notre ère numérique, où la distinction entre vie professionnelle et vie personnelle s’estompe constamment, une politique AVAP n’est pas seulement une option, mais une nécessité pour de nombreuses entreprises. Adopter ce changement inévitable exige une compréhension des implications en matière de cybersécurité pour protéger votre actif le plus précieux : les données de votre entreprise. La confiance et la responsabilité deviennent les deux piliers sur lesquels les entreprises doivent construire leurs stratégies AVAP.
Afin de cheminer dans le réseau complexe des meilleures pratiques de sécurité AVAP pour les entreprises, il faut commencer par des politiques claires qui définissent l’utilisation autorisée des appareils personnels en milieu de travail. En outre, il est primordial d’équilibrer liberté et contrôles afin de protéger les données de l’entreprise dans un environnement AVAP sans étouffer la productivité des employés. Une formation régulière sur la sensibilisation à la cybersécurité peut renforcer davantage votre première ligne de défense : vos employés. Il est impératif de maintenir les logiciels à jour, d’intégrer l’authentification multifacteur (AMF) et de garantir des vérifications régulières. De telles mesures réduisent non seulement les risques, mais elles garantissent également que vous gardez une longueur d’avance dans le paysage en constante évolution des menaces de cybersécurité.
La mise en œuvre d’une politique AVAP qui donne la priorité à la cybersécurité est une étape vers l’autonomisation de votre personnel. Grâce aux bonnes mesures en place – telles que des connexions sécurisées, le cryptage des données et des solutions de gestion des appareils – les employés peuvent travailler efficacement, en toute sécurité et même à distance. Une culture AVAP qui met l’accent sur la cybersécurité comme une responsabilité partagée peut transformer votre personnel en une puissante ligne de défense protégeant les actifs numériques de votre organisation.
Ressources, guides et manuels
U.S. Department of Commerce, National Institute of Standards and Technology (NIST) Computer Security Resource Center (CSRC) Mobile Device Security – NIST SP 1800-22: Mobile Device Security: Bring Your Own Device (BYOD), September 2023, https://csrc.nist.gov/pubs/sp/1800/22/final
Cybersecurity Insiders: BYOD Security Report 2021– https://pages.bitglass.com/rs/418-ZAL-815/images/CDFY21Q2BYOD2021.pdf
U.S. Department of Commerce, National Institute of Standards and Technology (NIST) Computer Security Resource Center (CSRC) Mobile Device Security – NIST SP 800-114: User’s Guide to Telework and Bring Your Own Device (BYOD) Security, July 2016, https://csrc.nist.gov/pubs/sp/800/114/r1/final
Gouvernement du Canada : ministère de l’Innovation, des Sciences et du Développement économique Canada, Élaborer un Plan d’intervention en cas d’incident : modèle à remplir et exemple – https://ised-isde.canada.ca/site/cybersecuritaire-canada/fr/french/elaborer-plan-dintervention-cas-dincident-modele-remplir-exemple
Toronto Metropolitan University, Rogers Cybersecure Catalyst – https://simply-secure.ca and Sample BYOD policy – https://simply-secure.ca/wp-content/uploads/2020/08/Sample-BYOD-Policy.pdf
Toronto Metropolitan University, Rogers Cybersecure Catalyst – 10 Steps to an Effective Cybersecurity Program: For Small and Medium-Sized Businesses, a useful and practical handbook for SMEs, 44 pages. Free download available at: https://simply-secure.ca/wp-content/uploads/2021/02/RCC_SMB_Handbook_10stepsEffectiveCybersecurityProgram_Final.pdf
Centre canadien pour la cybersécurité, Sécurité des appareils des utilisateurs finaux pour les modèles de déploiement AVAP – https://www.cyber.gc.ca/fr/orientation/securite-des-appareils-des-utilisateurs-finaux-pour-les-modeles-de-deploiement-prenez
CNIL (Commission Nationale de l’Informatique et des Libertés) BYOD : quelles sont les bonnes pratiques ? – BYOD : quelles sont les bonnes pratiques ? | CNIL
Centre pour la cybersécurité Belgique – Cyber Security Coalition. Guide de gestion des incidents 2021 – cybersecurity-incident-management-guide-FR.pdf (belgium.be)
SANS Institute Cybersecurity Whitepaper. Raphael Simmons (for more technical perspectives), BYOD Security Implementation for Small Organizations, December 2017 – https://www.sans.org/white-papers/38230/
Contributions
Remerciements en particulier pour le soutien financier du Programme d’aide à la recherche industrielle (PARI) du Conseil national de recherches du Canada (CNRC).
Éditeur en chef : Alan Bernardi
Traducteur, réviseur & correcteur d’épreuves : Ravi Jay Gunnoo