Après avoir réalisé que l’avènement du BYOD était plus qu’une tendance éphémère mais s’apparentait à une véritable césure, il faut se poser la question de la manière dont on peut aborder ce changement majeur : il va falloir admettre que le changement de paradigme qui en découle doit être pris en compte. Heureusement, tout changement de paradigme n’implique pas forcément une remise en cause des principes de sécurité mais une évolution certaine de la vision confortable d’un environnement entièrement contrôlé, vers un niveau de sécurité plus flou dans un périmètre qui n’a cessé de s’étendre au fur et à mesure que les frontières de sécurité du réseau interne s’estompaient.

Dans le cas du BYOD, l’élément d’incertitude qui s’ajoute à l’équation est le niveau de sécurité de l’équipement utilisé par l’utilisateur pour accéder aux actifs de l’entreprise. Durant la précédente période, l’un des principes de sécurité consistait à maitriser et contrôler tous les équipements ; tous les postes de travail étaient fournis par l’entreprise, construits selon des gabarits –  les fameux masters-  longuement testés et validés avant d’être déployés, référencés dans un annuaire (classiquement Active Directory). La configuration de sécurité était imposée par le biais de politiques de groupes et le maintien du niveau de sécurité assuré par un outil de gestion utilisé pour distribuer les correctifs de sécurité. Tout équipement n’entrant pas dans ce cadre était considéré comme indésirable, potentiellement dangereux et dont l’accès au réseau interne devait être au mieux refusé par la mise en place d’un dispositif de contrôle d’accès réseau (802.1x, isolation IPSec), mais plus souvent simplement interdit par la politique de sécurité de l’entreprise sans aucun contrôle.

Ainsi allait le monde de l’IT avant l’arrivée de nouveaux équipements s’exécutant sur des systèmes d’exploitation non-Windows, provenant du marché « consumer » et a priori sans être destinés ou adaptés à une utilisation en entreprise.
Cette évolution qui selon toute vraisemblance est irrémédiable, fait voler en éclats le modèle déjà mis à mal pour l’ouverture nécessaire liée à la mobilité, modèle que l’on avait eu du mal à bâtir et que l’on continuait à vouloir faire perdurer. Pour embrasser la consumérisation et le BYOD, il devient inutile de vouloir recoller à un modèle de défense périmétrique désormais désuet par une démarche consistant à accumuler les concessions et exceptions; il faut prendre du recul pour tenter de comprendre comment on peut élargir l’ancienne vision pour faire évoluer un modèle devenu inadapté en s’appuyant sur les grands principes de sécurité.

DSCN0967 (Small)

Figure 1 : Modèle de défense périmétrique

Pour revenir aux fondamentaux, on doit distinguer les éléments suivants qui interagissent :

  • Le consommateur de l’information qui, dans le cas qui nous intéresse, est l’utilisateur, la personne qui accède aux données au travers le plus souvent d’une application
  • l’équipement dont se sert le consommateur pour pouvoir accéder à l’information ; il peut s’agir d’un poste de travail, une tablette, un smartphone qui constitue le périphérique ;
  • le canal de transmission ou de communication qui établit le lien entre l’équipement et l’information ou les données à consommer ; ce canal peut correspondre à une multitude de liens interconnectés, du réseau 3G pour les accès mobiles au wifi de l’entreprise jusqu’au réseau interne de l’entreprise ou de son datacenter
  • enfin, les données qui, accédées à travers des services de traitement, constituent ultimement les actifs auxquels le consommateur s’intéresse.

Pour assurer la sécurité sur l’ensemble de la chaine, il est nécessaire qu’elle soit prise en compte sur l’ensemble des éléments ci-dessus en respectant ces principes :

  • Principe 1 - Identité : L’identité du consommateur doit être vérifiée et associée à une authentification forte.
  • Principe 2 - Sécurité de l'équipement : L’équipement utilisé pour accéder aux données doit être sécurisé c’est-à-dire pouvoir prétendre à un niveau de confiance suffisant pour s’assurer qu’il ne puisse pas servir de vecteur de compromission ou d’intrusion (par exemple par le vol des credentials de l’utilisateur, la diffusion d’un virus…) et qu’il puisse, si nécessaire, héberger des données sensibles avec un niveau de protection en adéquation avec les politiques de sécurité de l’entreprise.
  • Principe 3 - Sécurité de la transmission : Le canal de transmission doit être en mesure de protéger le trafic de bout en bout entre le consommateur et les données en garantissant la confidentialité et l’intégrité des données en transit avec authentification des deux extrémités : d’un côté le consommateur et l’équipement d’accès, de l’autre le serveur ou le service mettant les données à disposition.
  • Principe 4 : Contrôle d'accès aux données : L’accès aux données doit être protégé par un contrôle d’accès basé sur l’identité du consommateur et les autorisations associées à son rôle qui seront déduites de ses attributs et revendications (claims).

4 Security Principles-2

Figure 2 : Les 4 principes fondamentaux de sécurité

Ces principes de sécurité servent de guide depuis des lustres et on est en droit de se demander en quoi le phénomène du BYOD viendrait les remettre en cause ; les principes ne doivent pas, de fait, être revus ou modifiés – il est plus rassurant de disposer de principes intangibles – mais c’est leur mise en application qui va s’avérer nettement plus complexe.

C’est le principe 2, concernant la sécurité du terminal, dont l’application devient difficile du fait de la multiplicité des types de terminaux, des systèmes d’exploitation et de leurs versions, de la possibilité de les compromettre (jailbreak, rootkit) et du manque évident de contrôle que l’on peut en espérer.
Là où tous les efforts étaient faits dans le modèle précédent pour s’assurer d’un niveau maximum de confiance du terminal, on se retrouve dans une situation où, par souci d’offrir une liberté de choix des équipements aux utilisateurs, on se voit dans l’obligation de faire des concessions sur le niveau de connaissance, de contrôle et de sécurité du terminal. On augmente la zone de flou, l’indétermination sur la sécurité de l’équipement utilisé, ce qui semble aller complètement à l’encontre de l’objectif du précédent modèle consistant à garantir la maitrise complète de cet élément de la chaine.

Le principe 1 traitant de l’identité doit également être envisagé au-delà du périmètre de l’entreprise par le fait que la notion d’identité ne se limite plus à l’identité de l’entreprise mais, du fait de la consumérisation, à des identités non contrôlées directement par l’entreprise. En premier, l’identité sociale liée à l’émergence des réseaux sociaux dont l’importance dans la vie des personnes et leur rapport aux autres devient de plus en plus prégnant : c’est l’imbrication entre la vie privée et la vie professionnelle qui fait que cette identité, que l’on pouvait précédemment et à juste titre complètement ignorer vu du côté de l’entreprise, entre désormais dans le jeu.

En second, ce que l’on peut définir comme l’identité déléguée, c’est-à-dire l’identité gérée par un partenaire avec lequel une relation de confiance au sens de la fédération a été mise en place et contractualisée, qui pourra être permettre d’offrir l’accès à des services ou données en fonction des revendications associées à cette identité.

Enfin, le principe 4 associé à la protection des données est plus que jamais indispensable : dans la vision d’une extension de l’entreprise non seulement au-delà d’un périmètre bien délimité déjà mis à mal par la mobilité, la consumérisation et le BYOD imposent une protection au plus près des données qui deviennent ultimement le réel actif à protéger. La classification des données prend dès lors une importance vitale pour permettre d’identifier les données sensibles et mettre en place les contrôles nécessaires pour les protéger en conséquence.

En synthèse, le modèle basé sur le niveau de confiance total dans la sécurité des terminaux par un contrôle que l’on voulait le plus strict possible, sur une identité uniquement liée et gérée par l’entreprise et une protection des données qui pouvait s’avérer dans la réalité déficiente par manque de mise en place d’une vraie classification, ne doit pas être rejeté mais étendu ; il doit prendre en compte désormais le fait que tous les terminaux se connectant au système d’information ne seront pas des terminaux connus de l’entreprise, que plusieurs types d’identité y compris des identités externes pourront être présentés par l’utilisateur et, enfin, que la protection des données devient critique pour s’adapter aux nouveaux risques dont le risque de fuite d’information.