Plongée approfondie dans la cybersécurité : Qu’est-ce que le BYOD et les 9 risques de sécurité

Infection des Appareils par des Logiciels Malveillants

Le plus gros risque lié aux politiques Bring-Your-Own-Device (BYOD) est l’infection par des logiciels malveillants. Les employés ont tendance à être moins prudents en ce qui concerne la sécurité de leurs appareils personnels et accordent moins d’attention aux applications qu’ils installent.

Ils peuvent télécharger des fichiers PDF, installer des jeux et d’autres applications à des fins personnelles, et bon nombre de ces applications peuvent être infectées par des logiciels malveillants.

Étant donné que l’appareil contient également des données de l’entreprise, le logiciel malveillant y aura accès, provoquant une violation des données.

De plus, lorsque l’employé se rend au travail et connecte son appareil au réseau de l’entreprise, le logiciel malveillant se propagera à l’ensemble du réseau, entraînant une crise.

Il existe plusieurs types de logiciels malveillants, notamment :

• Virus
• Chevaux de Troie
• Outils de phishing
• Enregistreurs de frappe
• Adwares
• Ver
• Logiciels espions
• Ransomwares
• Logiciels malveillants sans fichiers

Le pire, c’est que tout en ligne pourrait être infecté par l’un de ces logiciels malveillants. Il suffit d’un moment d’inattention lors de l’accès à un site web étrange ou lors du téléchargement d’une application, et votre appareil est infecté.
En tant qu’employeur, vous avez très peu de contrôle sur la manière dont l’employé utilise son appareil personnel à domicile.

Donc, vous ne savez pas si leur appareil est infecté ou non.

Solutions

• Exigez l’installation de solutions antivirus sur les appareils de vos employés. Cela les avertira de toute application ou site web suspect, prévenant ainsi l’infection par des logiciels malveillants.
• Contrôlez toutes les applications que vos employés ont installées sur leurs appareils personnels lorsqu’ils viennent travailler. Effectuez des analyses de sécurité pour vous assurer qu’il n’y a aucun risque d’infection par des logiciels malveillants.
• Mettez en place des politiques d’utilisation strictes pour empêcher vos employés d’utiliser librement leurs appareils personnels en ignorant les risques en matière de cybersécurité (par exemple, interdisez aux employés d’installer des jeux ou des applications non liées au travail sur leurs appareils).
• Effectuez régulièrement des vérifications de routine sur les appareils BYOD pour vous assurer qu’aucune application inattendue n’a été installée ou qu’ils n’ont pas été infectés par des logiciels malveillants.

Mélange de l'Usage Personnel et Professionnel

Lorsque vous mettez en place le BYOD, il est inévitable que les employés mélangent l’usage personnel et professionnel sur leurs appareils.

Cela crée des vulnérabilités en matière de sécurité, car des données de l’entreprise seront stockées sur des appareils utilisés pour des activités non sécurisées telles que les achats en ligne.

Vous avez du mal à contrôler les appareils de vos employés car vous ne saurez pas comment ils les utilisent à domicile.

Voici ce qui pourrait se produire en conséquence :

• L’employé prête l’appareil à un ami, ce qui met en danger les données sensibles
• L’appareil est connecté à un réseau Wi-Fi non sécurisé
• L’employé accède à un site web infecté, ce qui met en danger les données sensibles
• L’employé télécharge un fichier infecté, ce qui finit par accéder aux données privées de l’entreprise sur l’appareil

Il est extrêmement difficile de garder le contrôle sur ces choses. Le BYOD présente un risque important en matière de cybersécurité qui n’est pas facile à éviter.

Solutions

• Séparez l’usage personnel de l’usage professionnel pour vous assurer que l’utilisateur n’affecte pas les données professionnelles lorsqu’il utilise l’appareil à des fins personnelles. Cela peut être réalisé grâce à la cryptage des données, un système de sécurité fiable et le principe du moindre privilège
• Imposez l’utilisation d’un VPN pour empêcher l’interception malveillante des communications lorsque l’appareil est connecté à un réseau Wi-Fi non sécurisé
• Coupez l’accès aux applications et aux données professionnelles lorsque l’employé part pour éviter tout accès non autorisé ou violation de données en cas de négligence de l’employé
• Renforcez la sensibilisation à la sécurité pour éviter la négligence et l’insouciance dans l’usage personnel à domicile

Appareil Perdu ou Volé

Il est beaucoup plus probable qu’un employé perde son appareil personnel par rapport à un appareil de travail.

Une enquête montre que 68% des violations de données de santé ont été causées par la perte ou le vol d’un appareil appartenant à un employé.

Cela se produit parce qu’un appareil personnel est plus vulnérable au vol ou à la perte en raison de la manière, de l’endroit et du moment où il est utilisé.

Un appareil de travail n’est utilisé qu’au travail, tandis qu’un appareil personnel est utilisé partout où l’utilisateur se rend.

Toute personne en contact avec l’utilisateur peut voler ou accéder à son appareil et mettre la main sur des données sensibles de l’entreprise.

Solutions

• Formez vos employés à utiliser des mots de passe et une sécurité biométrique sur leurs appareils pour éviter tout accès non autorisé en cas de perte ou de vol de l’appareil
• Formez vos employés à signaler immédiatement la perte ou le vol de leur appareil afin d’annuler leurs informations d’accès et d’éviter une violation de données
• Chiffrez les données professionnelles sur l’appareil de l’employé afin qu’elles ne puissent pas être consultées en dehors de l’environnement de travail

Utilisation de Wi-Fi Non Sécurisé

Cela mérite sa place sur la liste en raison de la dangerosité du Wi-Fi pour la sécurité des données sur les appareils des employés.

Les réseaux Wi-Fi publics sont parmi les pires pièges en matière de cybersécurité en raison de leur vulnérabilité à la manipulation externe.

Les attaques de l’homme du milieu sont très efficaces pour infiltrer les connexions Wi-Fi et infecter les appareils connectés.

Les leurres Wi-Fi sont plus courants que vous ne le pensez, et il est vraiment facile de tomber dans le piège si vous ne pouvez pas faire la distinction entre un réseau Wi-Fi malveillant et légitime.

Un autre type d’attaque Wi-Fi est l’espionnage, où les pirates exploitent des points d’accès non chiffrés ou frauduleux pour infiltrer les appareils connectés aux réseaux Wi-Fi publics. Comme la plupart des réseaux Wi-Fi publics ne sont pas chiffrés, les risques sont bien réels.

Solutions

• Indiquez aux employés de ne pas utiliser les réseaux Wi-Fi publics pour éviter directement un risque majeur en matière de cybersécurité
• Obligez l’utilisation de VPN pour tous les employés, ce qui les protège contre les attaques Wi-Fi
• Promouvez la sensibilisation à la cybersécurité, en particulier en ce qui concerne l’utilisation des réseaux Wi-Fi publics en déplacement
• Chiffrez les données de l’entreprise sur l’appareil pour empêcher tout accès non autorisé, même si l’appareil est infiltré après avoir utilisé un réseau Wi-Fi public

Sensibilisation Insuffisante à la Cybersécurité et Négligence

Selon le rapport 2023 sur les enquêtes sur les violations de données de Verizon, 74% de toutes les violations de données impliquaient l’élément humain.

Par « élément humain« , ils font référence aux employés de l’entreprise qui ont commis une erreur, fait preuve de négligence ou agi dans l’ignorance. En d’autres termes, de la manipulation sociale.

La négligence et le manque de sensibilisation à la cybersécurité peuvent être catastrophiques pour toute entreprise qui opère sur le web.

Un certain nombre de cyberattaques sont facilitées par l’élément humain. Malwares, phishing, vers, rançongiciels, vous l’appelez, et vous trouverez une personne coupable de négligence.

Voici à quoi cela peut ressembler :

• Télécharger une pièce jointe de phishing depuis un faux e-mail
• Installer une application infectée depuis le Play Store, qui finit par découvrir des données sensibles sur l’appareil
• Visiter un site web infecté, qui télécharge un rançongiciel sur votre appareil, qui finit par infecter la base de données de l’entreprise
• Utiliser un réseau Wi-Fi non sécurisé sans VPN et devenir la proie d’une attaque de l’homme du milieu
• Avoir votre appareil volé, ce qui finit par divulguer des données sensibles de l’entreprise

Négligence, désintérêt, paresse, insouciance, tous ces comportements posent problème pour les employés ayant accès à des données sensibles.
Lorsqu’ils apportent leurs propres appareils au bureau, toute une série de vecteurs d’attaque deviennent une réalité et vous devez vous y préparer.

Solutions

• Enseignez à vos employés les cyberattaques et les acteurs de la menace. Les employés doivent connaître les différents types de cyberattaques, les risques liés à la navigation en ligne, comment repérer les escroqueries, comment réagir aux attaques et ce qu’il ne faut pas faire en ligne

• Effectuez des vérifications régulières et imposez des règles de sécurité strictes. Vous ne voulez pas que vos employés soient négligents ou qu’ils se soucient peu de la sécurité des données de l’entreprise. La formation à la sécurité est une chose, mais les vérifications régulières sont la façon de maintenir l’attention et la sensibilisation des employés

Accès Non Autorisé aux Données Sensibles

En ce qui concerne le BYOD, l’un des risques les plus élevés est que quelqu’un accède à des données sensibles sans autorisation.

Cela pourrait signifier un vol, mais cela pourrait aussi signifier l’utilisation de l’appareil de l’employé sans sa connaissance.

Comme les employés emmèneront leurs appareils chez eux, quelqu’un avec de mauvaises intentions pourrait les ouvrir, accéder à des données sensibles et les divulguer.

Il y a aussi le risque de vol de l’appareil par quelqu’un de mal intentionné. Cela pourrait finir par devenir une violation de données si l’appareil n’est pas correctement sécurisé.

Étant donné que 79% des Américains ont leur smartphone avec eux pendant 22/24 heures par jour, il est clair de voir à quel point le risque de vol de données est important à prendre en compte.

Perdre l’appareil est également une possibilité. L’erreur humaine et la négligence sont des facteurs à prendre en compte lorsque vous mettez en œuvre le BYOD dans votre entreprise.

Solutions

• Des mots de passe solides pour tous les appareils professionnels. Assurez-vous que vos employés utilisent des mots de passe solides pour leurs appareils. Idéalement, ils devraient mettre un autre mot de passe sur les fichiers et dossiers de l’entreprise
• La vérification biométrique réduira encore davantage ce risque, en s’assurant que quiconque met la main sur l’appareil ne peut pas l’utiliser
• Mise en place de systèmes d’authentification à deux facteurs (2FA) de manière à ce que même si quelqu’un met la main sur l’appareil, il ne puisse pas accéder aux données sensibles sans le code 2FA approprié (ou la clé physique)
• Signalement immédiat de la perte ou du vol de l’appareil afin que les responsables puissent annuler tout code d’accès sur l’appareil qu’une tierce partie pourrait utiliser pour accéder aux bases de données de l’entreprise

Absence de Mises à Jour de Sécurité et de Logiciels

Une autre raison pour laquelle le BYOD peut présenter un risque sérieux en matière de sécurité, c’est que les employés pourraient ne pas être à jour avec leurs mises à jour de sécurité et de logiciels.

Nous savons tous que la plupart des gens ont tendance à être négligents avec leurs appareils personnels. C’est une question de confort.

Mais ce confort a de graves conséquences sur la sécurité personnelle (et d’entreprise) lorsque vous n’installez pas les dernières mises à jour de sécurité.

Voici ce qui pourrait se produire dans ce cas :

• Une faille zero-day nouvellement découverte (que vous ne connaissez pas) permettra aux pirates de s’infiltrer dans votre téléphone et de voler des données sensibles
• Une récente cyberattaque qui ravage votre type de système d’exploitation peut vous affecter car vous n’avez pas installé la dernière mise à jour de sécurité
• Diverses vulnérabilités du système peuvent ouvrir votre appareil aux attaques de tiers malveillants

En dehors du bureau, les employés peuvent être moins enclins à suivre les précautions de sécurité et à prendre autant de précautions qu’au bureau.
Cependant, c’est tout aussi important, voire plus, pour protéger les données d’entreprise sur l’appareil.

Solutions

• Faites des vérifications régulières sur la dernière version du système d’exploitation des appareils de vos employés pour vous assurer qu’ils utilisent les derniers logiciels et correctifs de sécurité
• Mettons l’accent sur l’importance de l’installation des correctifs de sécurité et des mises à jour de logiciels auprès de vos employés afin qu’ils changent leur mentalité dès le début. Ignorer cela peut avoir de graves conséquences sur votre entreprise

Shadow IT

Le Shadow IT se produit lorsque les employés utilisent des dispositifs non autorisés ou installent des logiciels non autorisés sur les appareils de travail sans en informer l’équipe informatique.

Environ 80% des travailleurs reconnaissent qu’ils utilisent des applications SaaS que le service informatique ne connaît pas.

Les raisons peuvent être multiples, mais dans la plupart des cas, les travailleurs affirment que tout signaler au service informatique ralentirait le flux de travail.

Bien que cela puisse être vrai, le risque de sécurité que pose le Shadow IT ne doit pas non plus être ignoré.

Les employés ne sont pas des experts en sécurité, ils pourraient introduire de nouvelles vulnérabilités en utilisant des logiciels ou du matériel non approuvés.

Certaines de ces applications peuvent avoir des normes de sécurité faibles, aucune encryption, voire des vulnérabilités de sécurité.

Solutions

• Insistez sur le fait que le matériel ou les logiciels non autorisés ne sont pas autorisés pour que les employés n’engagent pas de Shadow IT. Rendez les risques de sécurité clairs dès le début et soyez strict avec les réglementations
• Essayez de rendre tous les outils liés au travail disponibles pour les employés afin qu’ils n’aient pas à recourir au Shadow IT. Souvent, cela se produit parce que le service informatique perd du temps à approuver un outil dont les employés ont besoin pour accomplir leur travail
• Renforcez la détection des problèmes de sécurité liés au matériel ou aux logiciels non autorisés afin de les découvrir à l’avance

Négligence dans l'Observation des Politiques de Sécurité

Certains employés seront tout simplement inattentifs, négligents et indifférents aux politiques de sécurité que vous avez établies.

Cela peut se produire pour diverses raisons telles que :

• Des problèmes personnels
• Une confiance excessive en évitant les risques de sécurité sans respecter des réglementations strictes
• Le désintérêt

L’une de ces raisons constitue un problème majeur pour la sécurité de votre entreprise. Vous devez y remédier dès que possible.

Solutions

• Découvrez pourquoi les employés sont négligents et essayez de résoudre ce problème. Expliquez-leur l’impact potentiel d’une violation de données et les répercussions éventuelles s’ils en sont responsables
• Mettez à pied les employés qui sont constamment négligents. Il vaut mieux renoncer à un employé qui est constamment négligent et ne peut pas respecter les règles

Vaut-il la peine de mettre en place le BYOD à la fin ?

Les politiques BYOD ont quelques avantages bien définis que vous devriez connaître :

• Des coûts initiaux beaucoup plus bas pour le matériel fourni aux employés. Comme ils apportent leurs propres appareils au travail, vous économiserez sur ces dépenses
• Une meilleure productivité des employés en raison de leur familiarité avec leurs propres appareils
• Une plus grande satisfaction des employés car ils apportent un élément de familiarité au travail et n’ont pas à jongler avec un appareil personnel et professionnel simultanément
• Une plus grande mobilité car les employés sont toujours disponibles, même pendant leurs heures de repos officielles. Cela devrait améliorer la réactivité et l’engagement
• Une plus grande flexibilité dans l’accès aux ressources de l’entreprise de n’importe où, ce qui augmente la satisfaction, l’engagement et la fidélité des employés

Ce sont les principaux avantages des politiques Bring-Your-Own-Device pour une entreprise et ses employés.
Mais j’ai également décrit les risques de sécurité ci-dessus. Il y a une violation de sécurité potentiellement désastreuse qui attend de se produire si les politiques BYOD sont mal utilisées et manipulées.

Vous devrez établir quelques règles de base lors de la mise en œuvre du BYOD. Des contrôles de sécurité, une sensibilisation à la cybersécurité, la dissuasion active de la négligence en matière de sécurité et du Shadow IT, ce sont toutes des étapes nécessaires vers un écosystème BYOD sain.

Ce n’est pas impossible à réaliser, cependant. Avec les bons outils et la bonne planification, le BYOD peut améliorer considérablement les performances de votre entreprise.

Restez à l’écoute pour plus de contenu sur la cybersécurité de PrivacyAffairs !

Sources

BitGlass – Rapport sur la sécurité BYOD 2021
Privacy Affairs – Pourquoi le Hameçonnage Est-Il Si Courant et Comment S’en Protéger ?
Perception Point – Sécurité BYOD : Menaces, Mesures de Sécurité et Meilleures Pratiques
Privacy Affairs – Analyse Approfondie de la Cybersécurité : Qu’est-Ce Que le Principe du Moindre Privilège ?
Kiteworks – Les Appareils Mobiles Perdus et Volés Sont la Principale Cause des Violations de Données de Santé
Forbes – Les Vrais Risques du Wi-Fi Public : Statistiques Clés et Données d’Utilisation
Verizon – Rapport sur les Enquêtes sur les Violations de Données 2023
Privacy Affairs – L’Art de la Tromperie en Ligne : L’Ingénierie Sociale en Cybersécurité
Privacy Affairs – Analyse Approfondie de la Cybersécurité : 18 Types d’Attaques Informatiques & Méthodes de Prévention
Leftronic – 29+ Statistiques sur l’Utilisation des Smartphones : À Travers le Monde en 2023
Track – 21 Statistiques sur la Gestion du Shadow IT que Vous Devez Connaître
Jumpcloud – Les Avantages du BYOD pour les Entreprises