BYOD et gouvernance de l’information : des dangers

clanbomberCeci est la suite du précédent article : BYOD et gouvernance de l’information : des atouts

2 – Un risque sur la Sécurité des Systèmes d’Information (SSI) accru
Rendement et économie ont ainsi de quoi mettre l’eau à la bouche des entreprises et de leurs DSI. Il ne faut cependant pas négliger les risques induits par le BYOD car permettre l’utilisation de moyens personnels dans l’environnement professionnel, c’est aussi limiter la maitrise des risques SSI.

Aperçu de la cyber-menace
Tout ce qui transmet, traite le flux information et stocke de l’information est vulnérable et les modes d’ingérence informatique sont légions. La conception d’une cyber-arme offensive nécessite trois composants : un vecteur (clé USB, page web, courriel…), un composant capable de contourner la sécurité mise en place pour pénétrer un système informatique et une charge utile, en l’occurrence un code malveillant. Si l’on prend l’exemple du logiciel espion « Flame », le vecteur était la clé USB, le composant pénétrant a utilisé une faille du système d’exploitation Windows, et la charge a permis de dérober et d’envoyer des informations, d’allumer le micro de l’ordinateur, d’utiliser le bluetooth pour scanner les appareils à proximité, d’effectuer des captures d’écran… Une fois pénétré, le système d’information de l’entreprise est manipulable à volonté. Lorsqu’on sait que l’on trouve gratuitement sur Internet des « keyloggers », c’est-à-dire des logiciels qui, placés sur un ordinateur ou une clé USB, permettent de récupérer les premières frappes sur le clavier, à savoir le login ou mot de passe, on peut alors imaginer l’impact pour l’entreprise ; Fuite d’information, altération des données… autant d’effets de bord qui agiront directement sur le flux Information avec des conséquences dramatiques pour l’entreprise. Le microordinateur ou la clé USB ne sont d’ailleurs pas  les seules cibles de cyber-attaques. Il existait 8000 virus ou logiciels malveillants destinés aux smartphones en 2012. Or la progression des attaques auxquelles ils ont donné lieu en trois ans correspond à ce qui s’est passé en quatorze ans sur les ordinateurs. De son côté, la commission de la défense nationale et des forces armées a recensé un millier d’incidents de sécurité réels par an chez les acteurs économiques. Un état statistique de la menace par familles de risques et par pays auteurs a d’ailleurs été établi à cette occasion. Cet état indique une forte croissance du risque informatique, qui arrive au premier rang, avec 21 % des atteintes constatées dans 150 secteurs d’activité économique, devant les atteintes au savoir-faire et le risque financier.

Mise en péril du flux Information
Le BYOD accentue, par le partage d’un même équipement pour les besoins personnels et professionnels, les vulnérabilités SSI liées au nomadisme.
Par l’adoption du BYOD, les collaborateurs ou leur environnement familial deviennent une cible privilégiée pour le recueil de l’information. En effet, leurs équipements nomades deviennent un point d’entrée officiel sur le flux Information de l’entreprise. Sans considérer spécifiquement le cas du BYOD, il faut savoir que quatre microordinateurs disparaissent toutes les heures à l’aéroport Paris Charles de Gaulle, dont la moitié seulement est récupérée. Parmi les victimes de perte ou de vol de matériels informatiques, 56 % indiquent que ceux-ci ne contient pas d’informations sensibles et seul 21% ont conscience d’en détenir (93% de ces derniers ne chiffrent pas pour autant ces informations). Dans ces conditions, on conçoit qu’il soit aisé de collecter des informations utiles sur un équipement dérobé et sans même que l’entreprise ne se rende compte de quoi que ce soit (23% des victimes ne savent pas s’ils détiennent des informations sensibles). Plus encore, si les équipements professionnels peuvent être relativement maitrisés en termes de gestion de configuration, il n’en est pas de même pour les équipements personnels. Dans ce dernier cas, l’administrateur de l’équipement, en l’occurrence son utilisateur, est en mesure d’altérer lui-même sa configuration logicielle (consciemment ou inconsciemment) de par les droits d’accès qu’il possède. Or, nous l’avons vu précédemment, une fois compromis, un équipement se comporte potentiellement comme un livre ouvert. A cet égard, il faut avoir conscience que ce problème n’est pas exclusivement réservé aux microordinateurs. 45 milliards d’applications ont été téléchargées en 2012 sur les smartphones, soit, deux fois et demi plus qu’en 2011. Beaucoup d’entre elles sont gratuites, leurs auteurs se payant grâce aux informations fournies par les utilisateurs. Certaines sont particulièrement intrusives, comme celle des réseaux sociaux grand public, qui peuvent entièrement aspirer un carnet d’adresses, sous la forme d’option attrayante.

Article à suivre

About Patrick Larcheveque

Comment marier gouvernance et technologie de l’information en toute raison (cloud, vous avez dit cloud ? et big data, et open data ? et quoi d’autre encore ?) avec pour dote, une société en pleine numérisation ? Le numérique s’invite aujourd’hui dans la plupart des échanges d’information entre êtres humains et il semble bien parti pour en devenir l’acteur incontournable. Un mal ? Un bien ? Nous avons tous notre avis sur la question. Cette réalité, j’ai pu la voir évoluer et l’accompagner avec le recul nécessaire que me procurent mon expertise du monde IT depuis 1986 et un certain tropisme relationnel. Patrick Larchevêque, cadre administratif œuvrant au cœur des problématiques d’échange d’information interministérielles et internationales.

Related posts:

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *