Comprendre a création et l'application des politiques de BYOD

Définir une politique de BYOD

La première étape pour créer une politique de BYOD est de définir l'étendue du contrôle que l'organisation souhaite maintenir sur les appareils appartenant aux employés. Les organisations peuvent adopter de nombreuses approches différentes. À une extrémité du spectre, une organisation peut choisir de traiter les appareils personnels comme des actifs d'entreprise en échange de l'autorisation accordée aux employés d'accéder aux ressources informatiques depuis ces appareils. L'autre extrême consiste à ne pas exercer de contrôle sur les appareils eux-mêmes et, au lieu de cela, à se concentrer sur les contrôles d'accès et la limitation des risques tels que le stockage de données d'entreprise sur les appareils BYOD. La politique de BYOD optimale se situe probablement quelque part entre ces deux extrêmes.

Une politique de BYOD doit aborder l'utilisation acceptable des applications et des données de l'entreprise, les contrôles minimaux de sécurité des appareils et des applications, les exigences d'authentification, les contrôles d'accès basés sur des certificats ou une identité, ainsi que les droits de l'organisation à supprimer ou restreindre les données d'entreprise. En pratique, les parties les plus sensibles de la politique concernent généralement les appareils perdus ou volés, le départ des employés, les droits d'effacement sélectif et les limites de ce que l'informatique peut voir ou modifier sur un appareil personnel.

Les politiques d'utilisation acceptable peuvent exiger un VPN lors de l'accès aux systèmes d'entreprise et interdire le stockage des mots de passe pour les applications professionnelles. Les contrôles de sécurité peuvent également imposer le chiffrement des données stockées, la protection par mot de passe de l'appareil et l'enregistrement des appareils auprès d'une plateforme de gestion des appareils mobiles (MDM) ou d'une plateforme plus complète telle que la gestion unifiée des terminaux (UEM), qui inclut les capacités MDM. Les administrateurs informatiques doivent s'assurer que les employés comprennent tous les aspects de la politique de BYOD et y consentent.

Cependant, les politiques écrites et le consentement des employés ne suffisent pas à protéger les actifs informationnels d'une organisation. Même les employés bien intentionnés peuvent commettre des erreurs, comme oublier de définir un mot de passe pour l'appareil ou télécharger des informations confidentielles via une session non chiffrée. Les politiques relatives aux appareils mobiles doivent comporter un mécanisme d'application pour garantir que ces politiques empêchent de telles actions.

Appliquer une politique de BYOD

De nombreuses organisations peuvent appliquer une partie d'une politique de BYOD avec des outils qu'elles possèdent déjà sous licence, mais elles doivent d'abord déterminer si elles ont besoin de protection des données au niveau de l'application, d'une gestion complète de l'appareil ou des deux.

Dans les environnements Microsoft, cette décision dépend souvent de Microsoft Intune, de Microsoft Entra ID et de l'Accès conditionnel. Les politiques de protection des applications d'Intune peuvent protéger les données de l'entreprise à l'intérieur des applications prises en charge, même lorsqu'un appareil personnel n'est pas inscrit dans MDM. L'Accès conditionnel peut ensuite exiger des applications clientes approuvées ou une protection d'application avant que les utilisateurs n'accèdent aux ressources de l'entreprise. Si l'organisation a besoin d'un contrôle plus approfondi sur les paramètres de l'appareil, la posture de conformité, la configuration et le reporting, elle doit aller au-delà de la simple protection des applications et exiger une inscription via MDM ou UEM.

Les plateformes MDM tierces peuvent prendre en charge un éventail plus large d'opérations d'application de politiques de BYOD, y compris la gestion du cycle de vie complet, le contrôle de l'inventaire des applications, la protection des données, la distribution de certificats, la configuration et le verrouillage de l'appareil.

L'application d'une politique de BYOD commence par le provisionnement. Les plateformes de MDM peuvent assurer une configuration cohérente de l'appareil, installer des applications et créer des comptes sur les portails de gestion en libre-service. Si les politiques existantes limitent les applications dont l'installation est autorisée, le service informatique peut utiliser un système de MDM qui couvre la détection d'applications non autorisées.

La plupart des applications MDM prennent en charge l'effacement à distance, mais effacer complètement un appareil est drastique et, dans de nombreux cas, n'est pas nécessaire. Les applications MDM peuvent effacer sélectivement les données, permettant aux administrateurs d'appareils de supprimer les données de l'entreprise tout en laissant intactes les données personnelles.

Une politique de BYOD peut également exiger que tous les appareils accédant aux systèmes d'entreprise soient enregistrés auprès du service informatique et configurés avec un certificat SSL pour l'authentification. Les MDM qui prennent en charge la distribution de certificats peuvent minimiser les problèmes de gestion pour cette opération. Les systèmes de MDM peuvent alléger ce fardeau en fournissant des rapports sur les certificats expirés, les certificats révoqués et autres problèmes de gestion des certificats.

Les systèmes de MDM permettent également aux administrateurs informatiques de recommander, et dans certains cas d'appliquer, les mises à jour et les correctifs du système d'exploitation de l'appareil. Bien que forcer une mise à jour du système d'exploitation sur un appareil personnel d'un utilisateur puisse paraître intrusif, s'assurer que les appareils accédant aux données de l'entreprise sont sur un niveau minimum de système d'exploitation ou de correctif peut être nécessaire pour garantir une posture de sécurité solide. Les systèmes de MDM permettent aux administrateurs informatiques de créer des politiques de conformité du système d'exploitation, telles que les versions minimales de l'OS, pour que les appareils s'inscrivent et obtiennent un accès continu aux applications d'entreprise.

Enfin, recherchez des plateformes de MDM pour les fonctions de configuration et de verrouillage de l'appareil. L'informatique pourrait vouloir verrouiller les caméras, le Bluetooth, le GPS et le Wi-Fi pour certains utilisateurs. Si les administrateurs mobiles spécifient une politique de chiffrement, recherchez un MDM capable d'appliquer cette politique.

Les principales plateformes mobiles proposent désormais des modèles d'inscription BYOD établis, conçus pour séparer plus clairement l'utilisation professionnelle et personnelle. L'Inscription utilisateur d'Apple est conçue pour les déploiements BYOD et vise à permettre à l'informatique de gérer les comptes, les paramètres et les données de l'organisation sans exposer le compte personnel ou les données personnelles de l'utilisateur. Les profils de travail Android Enterprise maintiennent de même les applications, données et politiques d'entreprise à l'intérieur d'un conteneur de travail séparé sur les appareils appartenant aux employés.

Michael Goad est un rédacteur indépendant et architecte de solutions ayant de l'expérience dans la gestion de la mobilité en entreprise.

Dan Sullivan, M.Sc., est auteur, architecte de systèmes et consultant avec plus de 20 ans d'expérience informatique dans l'analyse avancée, l'architecture des systèmes, la conception de bases de données, la sécurité d'entreprise et la business intelligence.