BYO… Un bel acronyme pour un bel angliscisme : Bring Your Own. En français dans le texte, cela désigne l’utilisation en environnent professionnel de matériel personnel. On se dit tous que c’est super… chez les autres. Parce que mon entreprise n’est pas encore mûre pour accueillir les périphériques personnels et mettre en place un programme novateur qui encadrerait le mouvement. Bref, c’est bien joli mais ce n’est pas pour moi… Vraiment ?

Accompagner le mouvement va delà de la mise en place d’un programme permettant à l’utilisateur de venir travailler (avec ou sans contre partie financière) avec un périphérique qui n’appartient pas à celle-ci… garantissant ainsi une meilleure productivité de l’entreprise et facilitant la rétention de ses talents.

BYO, c’est plus que ça. La mise en place d’une initiative BYO est indispensable à la sécurité de l’entreprise. J’ai bien écrit indispensable. Tout simplement parce qu’il faut pouvoir gérer la sécurité d’un système d’information étendu qui acceptera ces machines non gérées ou non gérables.

Revenons à la réalité. 98% des entreprises interrogées début 2011 pour l’étude commandée par Citrix reconnaissent déjà accepter de façon non formelle des périphériques qu’elles ne gèrent pas dans leur système d’exploitation… Généralement, cela concerne principalement les smartphones (28% des utilisateurs apportent aujourd’hui leur téléphone) mais aussi de plus en plus les ordinateurs portables (38%) et les nouveaux périphériques comme les tablettes (8% en forte croissance)

Dès lors la sécurité du SI de l’entreprise est en péril. Comment lutter ? Empêcher l’utilisation de tel appareil c’est construire une ligne Maginot dans l’entreprise. Efficacité proche de zéro et beaucoup d’énergie dépensée… En revanche, prendre en compte les périphériques personnels  dans le cadre d’un programme BYO, c’est s’assurer d’avoir la capacité d’identifier ces périphériques et de disposer d’un moyen de garantir l’accès et la sécurité du système d’information. Je m’explique.

Plusieurs technologies existent qui peuvent être mis en place, parfois de façon combinée, pour (re-)sécuriser l’entreprise et ses données.

  • Network access control : cette solution permet de contrôler l’ensemble des ports réseaux de l’entreprise et d’autoriser ou non l’accès. Un périphérique non autorisé se retrouvera surement sur un réseau dit “de quarantaine” avec un accès limité. Cette solution semble séduisante dans l’optique d’interdire l’accès aux périphériques non gérés mais ne répond pas à la demande d’un accès sécurisé depuis ces mêmes périphériques. L’accès est soit autorisé, soit interdit… un peu manichéen et pas vraiment à même de garantir que je peux travailler avec mon périphérique.
  • VPN pour tout le monde (…avec de l’analyse de poste) : cette solution est intéressante à plusieurs titres.

1- D’un point de vue stratégique car elle permet de recentrer le sécurité sur un périmètre fixe, complet et immuable (le datacenter) en considérant tout le monde comme externe et donc en identifiant nativement tous les périphériques n’appartenant pas à l’entreprise.

2-D’un point de vue sécurité en utilisant l’analyse de poste et le contrôle granulaire, elle est capable d’adapter l’accès en fonction du niveau de confiance de la connexion pour les postes d’entreprises comme pour les postes personnels. Sans contrôle granulaire, cette solution renvoi les utilisateurs non sécurisés sur un réseau “de quarantaine” (cf. ci-dessus). Le contrôle granulaire permet, contrairement au réseau “de quarantaine” de bloquer certains ports de façon dynamiques pour garantir un niveau d’accès sécurisé minimale. Les solutions Citrix vont jusqu’à pouvoir identifier la sources (exécutable de l’application avec signature) pour garantir qu’un port ouvert ne puisse être utilisé QUE pour l’application souhaitée.

  • Virtualisation d’applications et virtualisation de poste : cette solution permet de transformer la méthode d’accès en ne faisant plus rentrer le poste sur le réseau mais en sortant un service sous le contrôle de l’administrateur. Très schématiquement, au lieu d’accéder à telles ou telles ressources, la virtualisation permet d’afficher sur mon poste le résultat d’un service (application ou poste) qui s’exécute dans le datacenter sécurisé et avec lequel mon poste n’a aucune communication directe (juste un affichage). La question de l’application ou du poste n’est qu’une question de sécurité (dois je accéder uniquement à une unique application) et d’ergonomie (dois m’intégrer ou non dans le bureau local du périphérique et éviter l’effet “un bureau dans un bureau”).

Idéalement, il faudrait au minimum pouvoir combiner le VPN et la virtualisation de poste pour avoir une solution unique et c’est ce que Citrix propose avec XenApp et XenDesktop Platinum… Tous les postes sont considérés comme externes et tous doivent s’authentifier auprès de mon accès sécurisé d’entreprise. En fonction du résultat de l’analyse de sécurité (Qui ? Où ? Quel poste ? Quel niveau de confiance?), la solution pourra de façon dynamique et non exclusive soit ouvrir un VPN direct pour tout ou partie des services réseau, soit transformer l’accès pour tout ou partie des applications.

Ainsi, je suis capable de garantir que l’utilisateur pourra travailler de n’importe quel périphérique et/ou n’importe… Sans jamais mettre en péril la sécurité de mes services et le contrôle sur l’accès.

Pourquoi dès lors ne pas officialiser l’arrivée de ces nouveaux périphériques exogènes ? Se lancer dans un programme BYO c’est le moyen de reprendre la main sur la sécurité de l’entreprise… et d’aider à sécuriser son business.