La 'consumérisation IT', un facteur déstabilisant pour la sécurité des entreprises

Selon Gartner, les outils high-tech grand public font une intrusion sur le
lieu de travail. A charge pour les responsables IT de prendre les mesures
adéquates.

Selon Gartner, les outils high-tech grand public font une intrusion sur le lieu de travail. A charge pour les responsables IT de prendre les mesures adéquates.

L’une des plus importantes et croissantes menaces pour la sécurité IT des entreprises est le phénomène de « consumérisation IT », estime Gartner. Et les responsables professionnels concernées doivent se préparer à aux risques inhérents liés à l’introduction des « outils high-tech de masse » qui font leur intrusion dans la vie de l’entreprise.

Selon le cabinet d’études IT, il faut s’attendre à ce que les salariés d’une organisation utilisent de plus en plus de services high-tech personnels sur leurs lieux de travail. Simultanément, les entreprises vont adopter de plus en plus de technologies grand public dans le cadre de leurs activités BtoB.

« Bien que l’usage des technologies orientées consommateurs crée de nouveaux risques pour les entreprises, le fait de vouloir l’éliminer semble difficile et peu commode », déclare Rich Mogull, vice-président pour les recherches chez Gartner. « En prenant des mesures de précaution et en investissant d’ores et déjà dans des technologies fondamentales de sécurité, les entreprises peuvent se préparer à l’usage croissant de terminaux, services ou réseaux IT orientés grand public au sein de leur organisation et à gérer les risques. »

Il existe des outils permettant de maîtriser cette tendance, estime Rich Mogull. La plupart d’entre eux, comme les contrôles d’accès réseau (1) ou les plates-formes de gestionnaires de contenu (2) avec transmission d’une unité d’information d’un noeud à l’autre, sont en cours d’adoption au sein des entreprises pour répondre à d’autres besoins de sécurité IT. Mais il serait possible de les adapter aux menaces liées à la vague de « consumérisation IT ».

Certes, le fait d’investir dans ce type d’outils qui manque de maturité pourrait être perçu comme un acte précoce et onéreux. Mais cela n’empêche pas les entreprises de mettre en place des règlements d’usage et des procédures afin de préparer le déploiement de ces technologies à venir.

Le cabinet d’études a recensé quatre problématiques liés à la » consumérisation IT » que les managers It doivent appréhender :
– les services de communication et de messagerie électronique que l’on utilise généralement en dehors du travail comme les outils de type instant messenging ou la voix sur IP.
-les blogs, réseaux communautaires et autres services Web 2.0, qui constituent potentiellement des canaux pour propager des agents malveillants.
? les smartphones ou terminaux de convergence susceptibles de proposer des capacités de stockage importantes et d’accueillir des applications IP lourdes.
– la pénétration du haut débit et l’usage de réseaux sans fil, qui permettra aux collaborateurs de se connecter aux systèmes d’infomation des entreprises à travers des réseaux tiers et des terminaux d’accès à distance.

« La plupart des entreprises seront incapables de bloquer complètement ces services pour des raisons culturelles voire technique. Mais il existe des options de sécurité IT pour limiter les risques engendrés par l’usage de ses services IT grand public », poursuit Rich Mogull. « Les entreprises peuvent déterminer les vecteurs pour les agents malicieux et les violations liés au règlement général relatif aux services de communication signé en interne.

« Actuellement, les règlements intérieurs des entreprises ne prennent pas compte ces problématiques et les mesures de protection traditionnelles mises en place autour de la messagerie électronique, les pare-feux et le filtrage Internet ne traitent pas de ces aspects », assure le représentant de Gartner. Du coup, le cabinet d’études IT recommande de définir une politique claire sur ce qui est autorisée ou non dans la vague « consumérisation IT ».

Les entreprises devraient alors configurer leurs systèmes de passerelles de sécurité afin de bloquer tous les services non autorisés sur les lieux de travail mais aussi régler les solutions de type CMF/DLP afin de mieux superviser et renforcer le contrôle du trafic IP.

(1) Network Access Control ou NAC
(2) Content Management Framework ou CMF
(3) Data Link Protocol ou DLP

Traduction d’un article de Vnunet.com en date du 15 juin 2007

La ‘consumérisation IT’, un facteur déstabilisant pour la sécurité des entreprises

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu