Accueil
>
Ressources
>
Blog
>
Le BYOD, une voie royale pour les campagnes de phishing ?
Le Bring Your Own Device (BYOD) est une pratique qui permet aux salariés de travailler à partir de leurs propres équipements (ordinateurs, téléphones mobiles, tablettes, etc.), et apporte ainsi une véritable flexibilité aux collaborateurs tout comme aux entreprises. Mais le BYOD augmente aussi la surface d’attaque des organisations puisque ces équipements sont souvent moins bien protégés et peuvent échapper à la vigilance des DSI. Une aubaine pour les pirates informatiques, comme en témoigne la campagne de phishing révélée par Microsoft il y a quelques mois : des attaquants ont pénétré les systèmes d’information d’une entreprise en passant par des équipements BYOD sur lesquels certaines barrières de sécurité n’étaient pas activées.
Quand la flexibilité se fait au prix de la sécurité
« Bring your own device », un mantra qui a le vent en poupe depuis la pandémie
Si le BYOD existait bien avant la pandémie, cette approche s’est accélérée avec la généralisation du télétravail puis du travail hybride. Selon le baromètre Télétravail et Organisations hybrides 2022 de Malakoff Humanis, en février dernier, 38% des salariés déclaraient recourir au télétravail. C’est 8 points de plus qu’en 2019. Le baromètre souligne également que 84% des dirigeants se disent prêts à déployer le travail hybride au sein de leur entreprise.
Cette volonté des dirigeants d’intégrer ce mode de travail fait écho à la volonté des salariés d’avoir plus de flexibilité au travail. Mais alors que l’on pourrait penser qu’il n’y a que du positif dans le fait d’utiliser ses équipements informatiques personnels dans une sphère professionnelle la réalité nous rattrape. En effet, cette tendance a aussi un revers : le BYOD augmente la surface d’attaque des entreprises…
Campagnes de phishing et autres cyberattaques : les revers du BYOD
Les équipements informatiques personnels sont souvent moins bien protégés que les équipements professionnels, ce qui entraine des risques non négligeables. Téléchargement d’applications malveillantes sur les équipements mobiles, exploitation des vulnérabilités des équipements et logiciels, phishing, malware, non-respect de la confidentialité des données… La liste est longue. De plus, ces attaques sont irrémédiables. En effet, dès lors que les données de l’entreprise sont copiées sur un équipement personnel, le dirigeant perd tout droit sur leur usage. Les risques pour l’entreprise de perte de données peuvent par ailleurs s’accroitre si le salarié prête son ordinateur à un proche, s’il le répare, le revend ou le perd.
L’attaque la plus utilisée par les hackeurs est le phishing. En effet, ils profitent du manque de sécurisation des appareils personnels pour passer au-dessus des frontières du réseau et lancer des attaques plus larges que sur des appareils informatiques professionnels. Ils arrivent alors très facilement à prendre le contrôle total des appareils pour les exploiter. Microsoft a d’ailleurs été victime d’une attaque de la sorte. Ici, les pirates informatiques ont dans un premier temps volé des informations d’identification, puis ils ont utilisé ces comptes pour étendre leur présence sur le réseau de l’entreprise. Cette connexion au réseau leur a ensuite permis de propager secrètement l’attaque et de se déplacer sans contrainte dans le réseau.
Pratiquer le BYOD, oui, mais à condition de revoir votre stratégie de cybersécurité
Pour une utilisation sécurisée du BYOD, le dirigeant doit établir une véritable stratégie de cybersécurité. Tout d’abord, il doit veiller à ce que les équipements personnels des salariés, quels qu’ils soient, soient intégrés au périmètre de sécurité des DSI afin de ne laisser aucune porte d’entrée aux attaquants.
Pour éviter les fuites d’informations, les données de l’entreprise doivent être gérées en fonction des identités des collaborateurs si un ou plusieurs équipements BYOD étaient volés ou perdus.
De plus, les solutions de protection utilisées par l’entreprise – et notamment les solutions de protection de messagerie – doivent être étendues aux équipements BYOD. En effet, aucune impasse ne doit être faite avec ce genre de solution. Chez Mailinblack nombreux sont nos clients qui ont installé notre solution Protect même sur les équipements BYOD. Nous recommandons également de coupler cette solution de protection de messageries avec Cyber Coach, notre solution de formation cyber et de sensibilisation des collaborateurs aux risques cyber. Pour ne pas se faire piéger, les salariés doivent aussi être sensibilisés aux risques du BYOD et adopter la posture adéquate. Au travers de nos simulations d’attaques de phishing, les collaborateurs apprendront à se prémunir efficacement des cybermenaces.
Une fois toutes ces bonnes pratiques intégrées à l’entreprise, la pratique du BYOD est 100% sécurisée ?