Post

Utiliser son propre appareil au travail : un risque pour la sécurité des entreprises

January 27, 2025

Academic AnalysisAcademic ReportageAM-NCAnalysis
Utiliser son propre appareil au travail : un risque pour la sécurité des entreprises

Source: The Conversation – in French – By Thembekile Olivia Mayayise, Senior Lecturer, University of the Witwatersrand

La prochaine fois que vous travaillerez dans un café ou un espace public similaire, prenez un moment pour regarder autour de vos « collègues » du jour, occupés, comme vous, avec des ordinateurs portables, des téléphones portables et des tablettes. Combien de ces appareils appartiennent aux organisations qui les emploient ? Ou bien sont-ils – et vous aussi – en train d’utiliser des appareils personnels pour mener à bien les activités de l’entreprise ?

De nombreuses entreprises adoptent une telle commodité plus connue sous le sous le nom de « bring your own device» (apportez votre propre appareil). Cette pratique permet aux employés d’utiliser leurs appareils personnels ou privés, tels que les smartphones, les ordinateurs portables, les clés USB et même le stockage personnel en nuage, à des fins professionnelles. Un terme plus large, « apportez votre propre technologie », englobe l’utilisation de logiciels privés pour des activités professionnelles.

Selon l’indice de préparation à la cybersécurité 2024 de l’entreprise technologique Cisco, 85 % des plus de 8 000 entreprises interrogées dans le monde ont déclaré que leurs employés accédaient aux plateformes de l’entreprise à l’aide d’appareils qu’elles ne géraient pas.

L’approche « apportez votre propre appareil » présente des avantages indéniables. Il s’agit notamment de coûts d’achat moins élevés pour les entreprises et d’une plus grande flexibilité pour le personnel. Mais cette pratique est également risquée.

Les appareils privés ne sont pas toujours bien configurés pour la sécurité. Ils sont souvent dépourvus de contrôles de sécurité des points finaux tels que les logiciels antivirus et le cryptage (conversion des données en clair dans un format illisible). Ils sont donc vulnérables aux violations de données et à d’autres formes de cyberattaque. Ces attaques sont courantes et peuvent être coûteuses. La société de cybersécurité Kaspersky a recensé près de 33,8 millions de cyberattaques mobiles dans le monde en 2023, soit une augmentation de 50 % par rapport aux chiffres de 2022.

Que peuvent donc faire les entreprises pour réduire les risques liés à la pratique « apportez votre propre appareil » ? En tant que professionnel de la cybersécurité qui mène des recherches sur des sujets liés à la cybersécurité et qui les enseigne, voici mes conseils aux entreprises qui souhaitent assurer la sécurité de leurs données tout en laissant leurs employés utiliser leur propre technologie.

Qui devrait se sentir concerné ?

Toutes les organisations, quelle que soit leur taille, qui utilisent l’internet et les technologies de la communication (TIC) dans leurs opérations professionnelles doivent se préoccuper des risques liés à l’utilisation d’appareils personnels. Ce n’est pas seulement l’affaire des départements informatiques. Sans collaboration entre les équipes techniques et la direction, il est impossible de trouver un équilibre entre l’efficacité opérationnelle et des mesures rigoureuses de sécurité des données.

Il s’agit d’une priorité immédiate si :

  • votre organisation ou votre entreprise n’a pas mis en place des politiques, des normes et des directives relatives à l’utilisation d’appareils personnels.

  • Vous n’avez pas mis en place des protections techniques fondamentales pour les appareils personnels. Celles-ci incluent des réseaux privés virtuels (VPN), des logiciels antivirus à jour, l’authentification multi-facteurs, le chiffrement des données et des outils de gestion des appareils mobiles.

  • votre entreprise ne dispose pas de process adéquats pour gérer les comptes d’utilisateurs (c’est souvent le cas pour les entités qui ne disposent pas de ressources TIC dédiées)

  • vos opérations TIC sont fragmentées, sans normes ou pratiques uniformes entre les départements

  • l’organisation n’a pas évalué les risques liés à la pratique du « bring your own device » (apportez votre propre appareil).

Il n’est jamais trop tard pour renforcer les contrôles de cybersécurité liés à l’utilisation d’appareils personnels. À mesure que les cyberrisques évoluent, les organisations doivent s’adapter pour protéger leurs informations. Une évaluation des risques financiers et réputationnels d’une violation de données montre presque toujours qu’investir dans des mesures de prévention en amont est bien plus rentable que de gérer les conséquences coûteuses d’une attaque.

Gérer les risques

Les organisations qui disposent des ressources nécessaires en matière de cybersécurité peuvent prendre des mesures en interne. Les autres devront peut-être envisager une externalisation dans les domaines critiques où il existe des lacunes importantes.

Tout d’abord, vous devez mettre en place une stratégie globale de type « apportez votre propre appareil », adaptée aux besoins de votre organisation. Cette stratégie doit s’aligner sur les objectifs de l’organisation et préciser qui doit mettre en place quelles mesures. Elle doit indiquer comment le fait de laisser les employés utiliser leurs propres appareils pour le travail répondra aux besoins de l’entreprise.

L’entreprise doit ensuite élaborer des politiques pour faciliter la gestion des appareils privés.

Mais il ne sert à rien de mettre une politique sur papier si elle n’existe que sur papier : il faut la communiquer à l’ensemble du personnel et la rendre facilement accessible à tout moment sur des plateformes telles que l’intranet. Communiquez les mises à jour de la politique à tous les utilisateurs par le biais de divers canaux tels que des courriels ou des ateliers. Proposez des formations régulières et personnalisées. Tout le monde n’est pas doué pour la technologie ; les employés peuvent avoir besoin d’aide pour installer les mesures de protection nécessaires.

N’oubliez pas d’informer votre équipe de tout changement. Il est essentiel de procéder à des évaluations régulières (mensuelles ou trimestrielles) ou continues des risques et d’apporter les modifications nécessaires.

L’organisation doit impérativement contrôler et faire respecter la conformité aux politiques. Tous les membres du personnel, des cadres supérieurs aux employés subalternes, doivent adhérer aux politiques visant à garantir la sécurité des données. La cybersécurité est une responsabilité partagée, et il est important d’être vigilant face à certaines menaces, telles que le whale phishing (hameçonnage de baleines) – lorsque des escrocs se font passer pour des cadres supérieurs d’une entreprise pour cibler spécifiquement d’autres cadres supérieurs et des responsables clés.

Éviter le désastre

Ces stratégies peuvent aider les entreprises à éviter que le « bring your own device » ne devienne « bring your own disaster » (« Apportez votre propre désastre »). Une approche bien gérée ne se limite pas à se protéger contre les menaces : elle constitue également un investissement dans la croissance, la stabilité et la crédibilité de l’organisation.

Thembekile Olivia Mayayise does not work for, consult, own shares in or receive funding from any company or organisation that would benefit from this article, and has disclosed no relevant affiliations beyond their academic appointment.

ref. Utiliser son propre appareil au travail : un risque pour la sécurité des entreprises – https://theconversation.com/utiliser-son-propre-appareil-au-travail-un-risque-pour-la-securite-des-entreprises-248157

MIL OSI – Global Reports